V laborátoriách Avast Threat Labs bol identifikovaný mobilný adware Cosiloon, ktorý je vopred nainštalovaný na tisíckach nových androidoch po celo svete, vrátane Českej republiky. Analytici objavili škodlivý kód na stovkách modelov a verziách zariadení s operačným systémom Android, vrátane produktov od ZTE, Archos a myPhone.
Niektoré smartfóny (napr. ZTE) nie sú certifikované Googlom, nezahŕňajú tak ochranu pred hrozbou Google Play Protect. Ide o sadu bezpečnostných nástrojov, ktoré vyhľadávajú vírusy v nainštalovanom softvéri, poskytujú základnú ochranu proti malwaru a podobne.
Cosiloon funguje tak, že webovú stránku v prehliadači prekryje reklamou. Len v minulom mesiaci bol adware zaznamenaný na približne 18 000 zariadeniach používateľov Avastu. Infikované sú telefóny vo vyše 100 krajinách sveta, vrátane Českej republiky, Nemecka, Veľkej Británie, Ruska, Talianska a Spojených štátov. Slovensko sa v správe nespomína.
Adware je aktívny už viac než tri roky a je veľmi ťažké ho odstrániť, pretože je nainštalovaný v rámci firmvéru. Škodlivé aplikácie môžu byť nainštalované ešte skôr, než sa telefón dostane k zákazníkom a bez toho, aby o tom vedel výrobca.
Google už o probléme vie a za pomoci vlastných riešení podnikol kroky k zmierneniu škodlivosti aplikácií na viacerých modeloch. Ako sa adware do zariadení dostal, nie je jasné. Jeho autori však riadiaci server neustále aktualizovali novými kódmi a výrobci pokračovali v dodávkach smartfónov s nainštalovaným dropperom (škodlivým programom). Niektoré antivírusové aplikácie môžu výskyt škodlivých dát oznámiť, no dropper ich nainštaluje späť.
Dropper sám o sebe nemôže byť odstránený zo zariadenia, takže tretia strana môže aj naďalej na postihnutom zariadení čokoľvek inštalovať. Tím Avast Threat Labs zachytil, že na telefónoch se cez dropper inštaluje adware, rovnako ľahko by sa mohl aj sťahovať spyware, ransomware či akýkoľvek iný druh hrozby.
Aplikácia Avast Mobile Security dokáže odhaliť a odinštalovať časť škodlivých dát (tzv. payload), ale nemá oprávnenie dropper vypnúť, to je práca pre Google Play Protect.
Ako Cosiloon deaktivovať?
Používatelia nájdu dropper v nastaveniach telefónu (pod názvom "CrashService", "ImeMess" alebo "Terminal" s ikonkou Android). Potom treba kliknúť na tlačidlo s deaktiváciou priamo na stránke aplikácie, pokiaľ je k dispozícii (to se líši podľa verzie Androidu). Tým deaktivujú dropper a Avast môže odinštalovať zvyšok škodlivého kódu.
Zdroj: tlačová správa
Diskusia k článku: