Rambler's Top100
Все новости Новости отрасли

Часть Android-устройств содержат предустановленное вредоносное ПО

25 мая 2018

Специалисты Avast Threat Labs обнаружили предустановленное рекламное приложение на нескольких сотнях различных брендов и моделей на базе Android, в том числе ZTE, Archos и myPhone. Большинство этих устройств не сертифицированы Google.

Вредоносное приложение под названием Cosiloon демонстрирует в браузере всплывающее окно с рекламой поверх веб-страницы — только за последний месяц от него пострадали тысячи пользователей. Исследователи Avast Threat Labs обнаружили последнюю версию Cosiloon на 18 000 устройств пользователей Avast в более чем 100 странах, включая Россию, Италию, Германию, Великобританию и США.

Рекламное ПО, которое ранее анализировали специалисты Dr. Web, существует уж более трех лет. Приложение встроено в прошивку смартфона, поэтому после удаления оно снова загружается. Исследователи Avast Threat Labs уже сообщили о проблеме в Google: компания уже предприняла меры для снижения вредоносной активности многих вариантов приложения, используя внутренние технические средства. Так, была обновлена Защита Google Play, чтобы избежать подобных случаев в будущем. Однако, если приложения встроены в прошивку, проблему довольно трудно решить. Google обратился напрямую к разработчикам программно-аппаратного обеспечения, чтобы устранить проблему.

Идентификация Cosiloon

На протяжении последних нескольких лет специалисты Avast Threat Labs наблюдали странные образцы в базе данных Android. Эти сигнатуры оказались аналогичны любым другим образцам рекламного ПО за исключением одного — они не имели точки заражения и нескольких похожих имен пакета, наиболее распространенные из них: com.google.eMediaService, com.google.eMusic1Service, com.google.ePlay3Service, com.google.eVideo2Service.

Неясно, как рекламное приложение попало в устройства. Злоумышленники постоянно загружали на сервер управления новые вредоносные «полезные нагрузки». Производители также продолжали поставлять новые устройства с предустановленными приложениями-дропперами для скрытого развертывания вредоносного ПО. Некоторые антивирусные программы сообщают о полезных нагрузках, но, так как дроппер повторно их загружает, а сам он не может быть удален, злоумышленник в любое время может установить на устройство не только рекламное ПО, но и программу-вымогателя, шпионское ПО и любую другую вредоносную программу.

Avast попытался отключить командный сервер Cosiloon, отправив запросы на удаление регистраторам домена и сервер-провайдерам. Один из провайдеров, ZenLayer, быстро ответил и отключил сервер, но через некоторое время он был восстановлен с использованием другого провайдера. Регистратор домена не ответил на запрос,Avast, поэтому командный сервер все еще работает.

Avast Mobile Security обнаруживает и удаляет полезную нагрузку, но не может получить доступ к отключению дроппера, поэтому вся тяжелая работа сейчас на стороне Защиты Google Play – блокировать троян-дроппер и полезную нагрузку. После того, как Защита Google Play стала идентифицировать Cosiloon, количество зараженных устройств значительно снизилось.

Как удалить Cosiloon


Пользователи могут удалить рекламный троян следующим образом: в настройках смартфона найти программу (под названием «CrashService», «ImeMess» или «Terminal» с общим значком Android), на странице приложения нажать «отключить» (функция доступна в зависимости от версии Android). Как только дроппер будет деактивирован, Avast Mobile Security удалит полезную нагрузку и вирус больше не загрузится повторно.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.