Menu
CHIP Speedtest

Nové Android telefony mají předinstalovaný malware

25.05.2018 11:28 | Pavel Trousil
Nové Android telefony mají předinstalovaný malware

Ve virové laboratoři Avast Threat Labs identifikovali mobilní adware, který je předinstalovaný na tisících nových Android telefonech po celém světě, včetně Česka.

Analytici Avastu objevili adware předinstalovaný na několika stovkách modelů a verzí zařízení Android, včetně produktů od ZTE, Archos a myPhone. Většina těchto zařízení není certifikovaná Googlem. Adware s označením "Cosiloon" funguje tak, že webovou stránku v prohlížeči překrývá reklamou. Postiženy jsou tisíce uživatelů a jen v minulém měsíci nejnovější verzi tohoto adware zaznamenali pracovníci Avastu přibližně na 18 000 zařízení. Infikovány jsou telefony ve více než 100 zemích světa, včetně České republiky, Německa, Velké Británie, Ruska, Itálie a Spojených států. Seznam postižených zařízení najdete zde.

Adware, který byl již dříve analyzován společností Dr. Web, je aktivní více než tři roky. Je obtížné jej odstranit, protože je nainstalovaný na úrovni firmwaru.

Škodlivé aplikace mohou být bohužel nainstalovány na úrovni firmwaru dřív, než se dostanou k zákazníkům, aniž by o tom věděl výrobce,“ popsal expert na mobilní bezpečnost v Avastu, Nikolaos Chrysaidos. „Pokud je aplikace instalována na úrovni firmwaru, je velmi obtížné ji odstranit. Vyžaduje to spolupráci dodavatelů zabezpečení, Googlu a výrobců mobilních zařízení. Společně můžeme pro uživatele Androidů zajistit bezpečnější mobilní ekosystém.

Avast je v kontaktu se společností Google, která se už problémem zabývá. Za pomocí interně vyvinutých technik podnikl Google kroky ke zmírnění škodlivosti mnoha variant aplikací na vícero modelech zařízení.  Firma již oslovila vývojáře firmwaru, aby je upozornila a pobídla k řešení problému.

 

Proč je složité Cosiloon rozpoznat

V minulosti laboratoře Avast Threat Labs občas zaznamenaly zvláštní vzorky Androidu. Zdály se být podobné jiným adwarům, ale vypadaly, že nemají žádný zdroj infekce, zato obsahovaly opakující se skupiny názvů. Mezi nejčastější z nich patřily:

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

Jak se adware do samotných zařízení dostal, není jasné. Autoři malwaru však řídící server neustále aktualizovali novými škodlivými daty a výrobci pokračovali i v dodávání nových zařízení s předinstalovaným dropperem (škodlivým programem). Některé antivirové aplikace oznamují výskyt škodlivých dat, ale dropper je nainstaluje zpět. Dropper sám o sobě ze zařízení odebrán být nemůže, takže třetí strana může i nadále na zařízení cokoliv instalovat. Tým Avast Threat Labs zachytil, že na zařízeních se skrz dropper instaluje adware, nicméně stejně snadno by mohl také stahovat spyware, ransomware nebo jakýkoliv jiný druh hrozby.

Avast se pokoušel řídící server Cosiloon zablokovat zasíláním žádostí registrátorovi domény a poskytovatelům serverů. První poskytovatel, ZenLayer, rychle reagoval a deaktivoval server, který ale byl po čase obnoven jiným poskytovatelem. Registrátor domény na žádost Avastu neodpověděl, takže řídící server stále funguje.

Mobilní aplikace Avast Mobile Security dokáže odhalit a odinstalovat část nechtěných dat (tzv. payload), ale nemá oprávnění vypnout dropper – to je práce pro Google Play Protect. Je-li zařízení infikováno, mělo by dojít k automatickému vypnutí obou komponent.

 

Jak Cosiloon deaktivovat

Uživatelé najdou dropper v nastavení telefonu (pod názvy "CrashService", "ImeMess" nebo "Terminal" s obecnou ikonkou Android). Potom musejí kliknout na tlačítko s deaktivací přímo na stránce aplikace, pokud je k dispozici (toto se liší podle verzí systému Android). Tím deaktivují dropper a Avast následně může nenávratně odinstalovat zbytek škodlivého kódu. Aplikaci Avast Mobile Security lze zdarma stáhnout z Google Play. Avast také spolupracuje s mobilními operátory po celém světě, aby chránil uživatele před mobilními hrozbami, 

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda Praha, spol. s.r.o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání