Vo vírusovom laboratóriu Avast Threat Labs identifikovali mobilný adware, ktorý je predinštalovaný na veľkom množstve nových Android telefónoch po celom svete, vrátane Slovenska.
Analytici Avast objavili adware predinštalovaný na niekoľkých stovkách modelov a verzií zariadení Android, vrátane produktov od ZTE, Archos a myPhone. Väčšina týchto zariadení nie je certifikovaná Googlom. Adware s označením „Cosiloon“ funguje tak, že webovú stránku v prehliadači prekrýva reklamou.
Postihnuté sú tisícky používateľov a len v minulom mesiaci sa najnovšia verzia tohto adwaru zaznamenala približne na 18 000 zariadení používateľov Avast. Adware je aktívny viac ako tri roky a je ťažké ho odstrániť, pretože je nainštalovaný na úrovni firmvéru.
Avast je v kontakte so spoločnosťou Google, ktorá sa už problémom zaoberá. Google aktualizoval aj svoju službu Play Protect, aby v budúcnosti sa zaistila bezpečnosť týchto aplikácií. Spoločnosť už oslovila vývojárov firmvéru, aby ich upozornila a nabádala k riešeniu problému.
Prečo je zložité Cosiloon rozpoznať
V minulosti laboratória Avast Threat Labs občas zaznamenali zvláštne vzorky Androidu. Zdali sa byť podobné iným adwarom, ale vyzerali, že nemajú žiadny zdroj infekcie, zato obsahovali opakujúce sa skupiny názvov. Medzi najčastejšie z nich patrili:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
Ako sa adware do samotných zariadení dostal, nie je jasné. Autori malwaru však riadiaci server neustále aktualizovali novými škodlivými dátami a výrobcovia pokračovali aj v dodávaní nových zariadení s predinštalovaným DROPPER (škodlivým programom).
Niektoré antivírusové aplikácie oznamujú výskyt škodlivých dát, ale dropper ich nainštaluje späť. Dropper sám o sebe zo zariadenia odobratý byť nemôže, takže tretia strana môže aj naďalej na zariadení čokoľvek inštalovať. Tím Avast Threat Labs zachytil, že na zariadeniach sa pomocou dropper inštaluje adware, však rovnako ľahko by mohol tiež sťahovať spyware, ransomware alebo akýkoľvek iný druh hrozby.
Avast sa pokúšal riadiaci server Cosiloon zablokovať zasielaním žiadostí registrátorovi domény a poskytovateľom serverov. Žiaľ neúspešne.
Mobilná aplikácia Avast Mobile Security dokáže odhaliť a odinštalovať časť nechcených dát (tzv. Payload), ale nemá oprávnenie vypnúť dropper – to je práca pre Google Play Protect. Ak je zariadenie infikované, malo by dôjsť k automatickému vypnutiu oboch komponentov. V Avast registrujeme, že sa to deje, pretože od chvíle, kedy Google Play Protect začal fungovať, klesá počet zariadení infikovaných novými verziami Cosiloon.
Ako Cosiloon deaktivovať
Musíte nájsť dropper v nastaveniach telefónu (pod názvami „CrashService“, „ImeMess“ alebo „Terminal“ so všeobecnou ikonkou Android). Potom musíte kliknúť na tlačidlo s deaktiváciou priamo na stránke aplikácie, pokiaľ je k dispozícii (toto sa líši podľa verzií systému Android). Tým deaktivujete dropper a Avast následne môže nenávratne odinštalovať zvyšok škodlivého kódu.
Aplikáciu Avast Mobile Security možno bezplatne stiahnuť z Google Play. Avast tiež spolupracuje s mobilnými operátormi po celom svete, aby chránil používateľov pred mobilnými hrozbami.
Zdroj: Avast
Prečítajte si aj:
