根据俄罗斯大蜘蛛公司披露，华为应用市场（AppGallery）上的大规模恶意软件活动已导致大约9300000（930万）次安装，这些安装涉及安卓木马伪装成190多个不同的应用程序。

　　该木马被大蜘蛛Dr.Web检测为“Android.Cynos.7.origin”，是旨在收集敏感用户数据的Cynos恶意软件的修改版本。该发现和报告来自俄罗斯杀软大蜘蛛公司Dr. Web杀毒研究人员，他们通知了华为并帮助他们从他们的商店中删除了已识别含木马的应用程序。但是，那些在手机上安装了这些应用程序的用户仍然必须手动将它们从手机中删除。

　　伪装成游戏应用程序的木马

　　攻击者将他们的恶意软件隐藏在安卓应用程序中，伪装成模拟器、平台游戏、街机游戏、RTS策略以及面向俄语、中文或国际（英语）用户的射击游戏。

　　由于宣传有限，如果用户喜欢这款游戏，他们就不太可能将它们删除。Cynos恶意软件应用程序的列表过于广泛，本文文末将一一列举，下面列出几个因安装量大而引人注目的示例：

　　快点躲起来 - 2000000次下载

　　猫冒险 – 427000次下载

　　驾驶学校模拟器 – 142000次下载

　　由于将已安装的应用程序列表与190个恶意应用程序的完整列表进行比较是不切实际的 ，因此更直接的解决方案是运行可以检测Cynos木马及其变体的杀毒工具。

　　强大的恶意软件

　　这种Cynos木马变种的功能可以执行各种恶意活动，包括监视短信文本以及下载和安装其他恶意程序。

　　“Android.Cynos.7.origin是Cynos程序模块的修改之一。该模块可以集成到安卓应用程序中以通过它们获利。这个平台至少在2014年就已为人所知，”大蜘蛛Doctor Web恶意软件分析师在他们的报告中解释道。

　　“它的一些版本具有相当激进的功能：它们发送订阅短信、拦截收到的短信、下载和启动额外的模块，以及下载和安装其他应用程序。”“我们的恶意软件分析师发现的该版本的主要功能是收集有关用户及其设备的信息并显示广告。”

　　木马的攻击性从安装阶段开始就变得很明显，它会请求许可执行通常与游戏无关的权限，例如拨打电话或检测用户的位置。

　　来自某游戏的风险许可请求 来源：Dr. Web

　　如果用户授予权限请求，恶意软件可以将以下数据上传到远程服务器：

　　用户手机号

　　基于 GPS 坐标或移动网络和Wi-Fi接入点数据的设备位置

　　各种移动网络参数，如网络代码和移动国家代码；GSM小区ID和国际GSM位置区号

　　手机的各种技术规格

　　来自木马应用程序元数据的各种参数

　　除上述内容外，Cynos木马程序还可能下载和安装额外的模块或应用程序、发送订阅服务短信并拦截收到的短信。因此，这些应用程序可能会因订阅高级服务而产生意想不到的费用，而且它们还可能会丢弃更隐蔽的间谍软件负载。

　　11月24日更新 - 华为发言人与外媒分享了以下评论：

　　“华为应用市场AppGallery的内置安全系统迅速识别了这些应用程序中的潜在风险。我们现在正在积极与受影响的开发人员合作对他们的应用程序进行故障排除。一旦我们确认这些应用程序全部清除，它们将重新在华为应用市场AppGallery上列出，以便消费者可以再次下载他们最喜欢的应用程序并继续享用它们。

　　保护网络安全和用户隐私是华为的首要任务。我们欢迎所有第三方监督和反馈，以确保我们兑现这一承诺。我们将继续与我们的合作伙伴密切合作，同时采用最先进和创新的技术来保护我们用户的隐私。”