• Вы находитесь тут:
  • Bad Android
  • Новости
  • Avast: устройства на платформе Android содержат предустановленное вредоносное ПО

Avast: устройства на платформе Android содержат предустановленное вредоносное ПО

Исследователи Avast Threat Labs проанализировали вредоносное рекламное ПО, которое предустановлено на тысячах новых смартфонов на платформе Android во всем мире


Avast

Специалисты Avast Threat Labs обнаружили предустановленное рекламное приложение на нескольких сотнях различных брендов и моделей на базе Android, в том числе ZTE, Archos и myPhone. Большинство этих устройств не сертифицированы Google. Вредоносное приложение под названием Cosiloon демонстрирует в браузере всплывающее окно с рекламой поверх веб-страницы — только за последний месяц от него пострадали тысячи пользователей. Исследователи Avast Threat Labs обнаружили последнюю версию Cosiloon на 18 000 устройств пользователей Avast в более чем 100 странах, включая Россию, Италию, Германию, Великобританию и США.

Рекламное ПО, которое ранее анализировали специалисты Dr. Web, существует уж более трех лет. Приложение встроено в прошивку смартфона, поэтому после удаления оно снова загружается. Исследователи Avast Threat Labs уже сообщили о проблеме в Google: компания уже предприняла меры для снижения вредоносной активности многих вариантов приложения, используя внутренние технические средства. Так, была обновлена Защита Google Play, чтобы избежать подобных случаев в будущем. Однако, если приложения встроены в прошивку, проблему довольно трудно решить. Google обратился напрямую к разработчикам программно-аппаратного обеспечения, чтобы устранить проблему.

Идентификация Cosiloon

На протяжении последних нескольких лет специалисты Avast Threat Labs наблюдали странные образцы в базе данных Android. Эти сигнатуры оказались аналогичны любым другим образцам рекламного ПО за исключением одного — они не имели точки заражения и нескольких похожих имен пакета, наиболее распространенные из них:

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

Неясно, как рекламное приложение попало в устройства. Злоумышленники постоянно загружали на сервер управления новые вредоносные «полезные нагрузки». Производители также продолжали поставлять новые устройства с предустановленными приложениями-дропперами для скрытого развертывания вредоносного ПО. Некоторые антивирусные программы сообщают о полезных нагрузках, но, так как дроппер повторно их загружает, а сам он не может быть удален, злоумышленник в любое время может установить на устройство не только рекламное ПО, но и программу-вымогателя, шпионское ПО и любую другую вредоносную программу.

Avast попытался отключить командный сервер Cosiloon, отправив запросы на удаление регистраторам домена и сервер-провайдерам. Один из провайдеров, ZenLayer, быстро ответил и отключил сервер, но через некоторое время он был восстановлен с использованием другого провайдера. Регистратор домена не ответил на запрос, Avast, поэтому командный сервер все еще работает.

Avast Mobile Security обнаруживает и удаляет полезную нагрузку, но не может получить доступ к отключению дроппера, поэтому вся тяжелая работа сейчас на стороне Защиты Google Play — блокировать троян-дроппер и полезную нагрузку. После того, как Защита Google Play стала идентифицировать Cosiloon, количество зараженных устройств значительно снизилось.

Как удалить Cosiloon

Пользователи могут удалить рекламный троян следующим образом: в настройкахсмартфона найти программу (под названием «CrashService», «ImeMess» или «Terminal» с общим значком Android), на странице приложения нажать «отключить» (функция доступна в зависимости от версии Android). Как только дроппер будет деактивирован, Avast Mobile Security удалит полезную нагрузку и вирус больше не загрузится повторно.

0

Комментарии


Чтобы оставить комментарий, пожалуйста, авторизируйтесь!
  • Вы находитесь тут:
  • Bad Android
  • Новости
  • Avast: устройства на платформе Android содержат предустановленное вредоносное ПО
  • Вы находитесь тут:
  • Bad Android
  • Новости
  • Avast: устройства на платформе Android содержат предустановленное вредоносное ПО