Redwood City, CA, 25 Mei 2018 — Avast Threat Labs telah menemukan adware yang telah diinstal sebelumnya pada beberapa ratus model dan versi perangkat Android yang berbeda, yang termasuk perangkat dari produsen seperti ZTE, Archos, dan myPhone. Mayoritas dari perangkat tersebut tidak disertifikasi oleh Google. Adware menggunakan nama “Cosiloon” dan menciptakan overlay untuk menampilkan iklan di atas halaman web pada browser pengguna. Ribuan pengguna telah terpengaruh dan pada satu bulan sebelumnya, Avast Threat Labs telah melihat adware versi terbaru pada sekitar 18,000 perangkat yang dimiliki oleh pengguna Avast yang berada di lebih dari 100 negara di dunia termasuk di Indonesia.

Adware yang sebelumnya dianalisa dan dijelaskan oleh Dr. Web, telah aktif setidaknya selama tiga tahun dan sulit untuk dihapus karena diinstal pada tingkat firmware dan menggunakan obfuscation yang kuat. Avast Threat Labs telah berhubung dengan Google dan mereka telah sadar akan isu tersebut. Google telah mengambil langkah lebih lanjut untuk mengurangi kemampuan malicious pada beberapa versi aplikasi yang terletak di beberapa model perangkat, dengan menggunakan teknik yang dikembangkan secara internal.

Google Play Protect telah diperbarui untuk memastikan adanya cakupan untuk aplikasi-aplikasi tersebut di masa depan. Bagaimanapun, karena aplikasi datang dengan firmware yang telah diinstal, membuat isu yang terjadi sulit untuk ditemukan.  Google telah menghubungi beberapa pengembang firmware untuk memberikan kesadaran terhadap isu ini dan mendorong mereka untuk mengambil langkah untuk mengatasi isu ini.

Mengidentifikasi Cosiloon

Pada beberapa tahun belakangan, Avast threat Labs telah mengamati dari waktu ke waktu beberapa sampel Android yang aneh pada database mereka. Sampel terlihat layaknya sampel adware lainnya, dengan pengecualian bahwa adware tampaknya tidak memiliki titik infeksi dan beberapa nama paket yang serupa, yang paling umum adalah:

• com.google.eMediaService
• com.google.eMusic1Service
• com.google.ePlay3Service
• com.google.eVideo2Service

Masih tidak jelas bagaimana adware masuk ke dalam perangkat. Pencipta malware terus memperbarui kontrol server dengan payloads baru. Produsen juga terus mengirimkan perangkat baru dengan dropper yang telah diinstal. Beberapa aplikasi antivirus melaporkan payloads, tetapi dropper akan menginstalnya kembali dan dropper tersebut tidak bisa dihapus, sehingga perangkat akan selalu memiliki metode yang memberikan pihak tak dikenal untuk menginstal aplikasi yang tidak mereka inginkan. Avast Threat Labs telah mengamati dropper adware instal pada perangkat, rupanya, dropper dapat dengan mudah mengunduh spyware, ransomware, atau ancaman lainnya.

Avast telah berusaha untuk menonaktifkan C&C server Cosiloon dengan mengirimkan permintaan untuk mematikan pendaftar domain dan server penyedia layanan. Penyedia layanan pertama, ZenLayer, dengan cepat merespon dan menonaktifkan sever, tetapi langsung dipulihkan dengan menggunakan penyedia layanan yang berbeda. Pendaftar domain masih belom merespon permintaan kami, sehingga server C&C masih bekerja.

‘‘Sayangnya aplikasi malicious dapat diinstal pada tingkat firmware sebelum dikirmkan kepada pelanggan, yang mungkin tanpa sepengetahuan produsen.“ Dikatakan oleh Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security at Avast. ‘‘Jika aplikasi diinstal pada tingkatan firmware, sangat sulit untuk dihapus, membuat kolaborasi antar industri diantara vendor keamanan, Google, dan OEMs imperatif. Bersama, kami bisa memastikan ekosistem seluler yang lebih aman untuk pengguna Android.“

Avast Mobile Security dapat mendeteksi dan meng-uninstall payload, namun tidak dapat memperoleh izin yang diperlukan untuk menonaktifkan dropper, sehingga Google Play Protect harus melakukan peningkatan yang berat. Jika sebuah perangkat terinfeksi, perangkat seharusnya secara otomatis menonaktifkan dropper dan payload. Avast mengetahui ini akan berjalan karena Avast Threat Labs telah mengamati penurunan angka perangkat yang terinfeksi oleh payload versi baru setelah Play Protect mulai mendeteksi Cosiloon.

Bagaimana cara menonaktifkan Cosiloon

Pengguna dapat menemukan dropper di pengaturan mereka (bernama ‘‘CrashService“,‘‘ImeMess“ or “Terminal“ dengan ikon Android umumnya) dan bisa mengklik tombol “disable“ pada halaman aplikasi, jika tersedia (tergantung pada versi Android). Ini akan menonaktifkan dropper dan ketika Avast menghapus payload, dropper tidak akan muncul kembali.

Avast Mobile Security bisa diunduh secara gratis di Google Play Store. Avast juga bekerja sama dengan operator seluler di seluruh dunia, yang termasuk empat operator terkemuka di Amerika, untuk melindungi pengguna dari ancaman seluler.