Analytici Avastu objevili adware předinstalovaný na několika stovkách modelů a verzí zařízení Android, včetně produktů od ZTE, Archos a myPhone. Většina těchto zařízení není certifikovaná Googlem. Adware s označením "Cosiloon" funguje tak, že webovou stránku v prohlížeči překrývá reklamou. Postiženy jsou tisíce uživatelů a jen v minulém měsíci jsme nejnovější verzi tohoto adware zaznamenali přibližně na 18 000 zařízení uživatelů Avastu. Infikovány jsou telefony ve více než 100 zemích světa, včetně České republiky, Německa, Velké Británie, Ruska, Itálie a Spojených států.
Adware, který byl již dříve analyzován společností Dr. Web, je aktivní více než tři roky. Je obtížné jej odstranit, protože je nainstalovaný na úrovni firmwaru.
„Škodlivé aplikace mohou být bohužel nainstalovány na úrovni firmwaru dřív, než se dostanou k zákazníkům, aniž by o tom věděl výrobce,“ popsal expert na mobilní bezpečnost v Avastu, Nikolaos Chrysaidos. „Pokud je aplikace instalována na úrovni firmwaru, je velmi obtížné ji odstranit. Vyžaduje to spolupráci dodavatelů zabezpečení, Googlu a výrobců mobilních zařízení. Společně můžeme pro uživatele Androidů zajistit bezpečnější mobilní ekosystém.“
Avast je v kontaktu se společností Google, která se už problémem zabývá. Za pomocí interně vyvinutých technik podnikl Google kroky ke zmírnění škodlivosti mnoha variant aplikací na vícero modelech zařízení.
Google aktualizoval i svoji službu Play Protect, aby v budoucnu zajistil bezpečnost těchto aplikací. Firma již oslovila vývojáře firmwaru, aby je upozornila a pobídla k řešení problému.
Ukázka nechtěné reklamy, která se zobrazuje uživatelům
Proč je složité Cosiloon rozpoznat
V minulosti laboratoře Avast Threat Labs občas zaznamenaly zvláštní vzorky Androidu. Zdály se být podobné jiným adwarům, ale vypadaly, že nemají žádný zdroj infekce, zato obsahovaly opakující se skupiny názvů. Mezi nejčastější z nich patřily:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
Jak se adware do samotných zařízení dostal, není jasné. Autoři malwaru však řídící server neustále aktualizovali novými škodlivými daty a výrobci pokračovali i v dodávání nových zařízení s předinstalovaným dropperem (škodlivým programem). Některé antivirové aplikace oznamují výskyt škodlivých dat, ale dropper je nainstaluje zpět. Dropper sám o sobě ze zařízení odebrán být nemůže, takže třetí strana může i nadále na zařízení cokoliv instalovat. Tým Avast Threat Labs zachytil, že na zařízeních se skrz dropper instaluje adware, nicméně stejně snadno by mohl také stahovat spyware, ransomware nebo jakýkoliv jiný druh hrozby.
Avast se pokoušel řídící server Cosiloon zablokovat zasíláním žádostí registrátorovi domény a poskytovatelům serverů. První poskytovatel, ZenLayer, rychle reagoval a deaktivoval server, který ale byl po čase obnoven jiným poskytovatelem. Registrátor domény na žádost Avastu neodpověděl, takže řídící server stále funguje.
Mobilní aplikace Avast Mobile Security dokáže odhalit a odinstalovat část nechtěných dat (tzv. payload), ale nemá oprávnění vypnout dropper – to je práce pro Google Play Protect. Je-li zařízení infikováno, mělo by dojít k automatickému vypnutí obou komponent. V Avastu registrujeme, že se to děje, protože od chvíle, kdy Google Play Protect začal fungovat, klesá počet zařízení infikovaných novými verzemi Cosiloon.
Jak Cosiloon deaktivovat
Uživatelé najdou dropper v nastavení telefonu (pod názvy "CrashService", "ImeMess" nebo "Terminal" s obecnou ikonkou Android). Potom musejí kliknout na tlačítko s deaktivací přímo na stránce aplikace, pokud je k dispozici (toto se liší podle verzí systému Android). Tím deaktivují dropper a Avast následně může nenávratně odinstalovat zbytek škodlivého kódu.
Aplikaci Avast Mobile Security lze zdarma stáhnout z Google Play. Avast také spolupracuje s mobilními operátory po celém světě, aby chránil uživatele před mobilními hrozbami.