24 мая 2018г., Москва — Специалисты Avast Threat Labs обнаружили предустановленное рекламное приложение на нескольких сотнях различных брендов и моделей на базе Android, в том числе ZTE, Archos и myPhone. Большинство этих устройств не сертифицированы Google. Вредоносное приложение под названием Cosiloon демонстрирует в браузере всплывающее окно с рекламой поверх веб-страницы — только за последний месяц от него пострадали тысячи пользователей. Исследователи Avast Threat Labs обнаружили последнюю версию Cosiloon на 18 000 устройств пользователей Avast в более чем 100 странах, включая Россию, Италию, Германию, Великобританию и США.

Рекламное ПО, которое ранее анализировали специалисты Dr. Web, существует уж более трех лет. Приложение встроено в прошивку смартфона, поэтому после удаления оно снова загружается. Исследователи Avast Threat Labs уже сообщили о проблеме в Google: компания уже предприняла меры для снижения вредоносной активности многих вариантов приложения, используя внутренние технические средства. Так, была обновлена Защита Google Play, чтобы избежать подобных случаев в будущем. Однако, если приложения встроены в прошивку, проблему довольно трудно решить. Google обратился напрямую к разработчикам программно-аппаратного обеспечения, чтобы устранить проблему.

Идентификация Cosiloon

На протяжении последних нескольких лет специалисты Avast Threat Labs наблюдали странные образцы в базе данных Android. Эти сигнатуры оказались аналогичны любым другим образцам рекламного ПО за исключением одного — они не имели точки заражения и нескольких похожих имен пакета, наиболее распространенные из них:

• google.eMediaService
• google.eMusic1Service
• google.ePlay3Service
• google.eVideo2Service

Неясно, как рекламное приложение попало в устройства. Злоумышленники постоянно загружали на сервер управления новые вредоносные «полезные нагрузки». Производители также продолжали поставлять новые устройства с предустановленными приложениями-дропперами для скрытого развертывания вредоносного ПО. Некоторые антивирусные программы сообщают о полезных нагрузках, но, так как дроппер повторно их загружает, а сам он не может быть удален, злоумышленник в любое время может установить на устройство не только рекламное ПО, но и программу-вымогателя, шпионское ПО и любую другую вредоносную программу.  

Avast попытался отключить командный сервер Cosiloon, отправив запросы на удаление регистраторам домена и сервер-провайдерам. Один из провайдеров, ZenLayer, быстро ответил и отключил сервер, но через некоторое время он был восстановлен с использованием другого провайдера. Регистратор домена не ответил на запрос,Avast, поэтому командный сервер все еще работает.

Avast Mobile Security обнаруживает и удаляет полезную нагрузку, но не может получить доступ к отключению дроппера, поэтому вся тяжелая работа сейчас на стороне Защиты Google Play – блокировать троян-дроппер и полезную нагрузку. После того, как Защита Google Play стала идентифицировать Cosiloon, количество зараженных устройств значительно снизилось.

Как удалить Cosiloon

Пользователи могут удалить рекламный троян следующим образом: в настройках смартфона найти программу (под названием «CrashService», «ImeMess» или «Terminal» с общим значком Android), на странице приложения нажать «отключить» (функция доступна в зависимости от версии Android). Как только дроппер будет деактивирован, Avast Mobile Security удалит полезную нагрузку и вирус больше не загрузится повторно.