Adware s názvem Cosiloon se za poslední měsíc rozšířil přibližně na 18 000 zařízení našich uživatelů a v současnosti infikoval telefony ve více než 100 zemích světa, včetně České republiky, Německa, Velké Británie, Ruska, Itálie a Spojených států. Tento adware se na nových zařízeních objevuje již předinstalovaný a funguje tak,
že webovou stránku v prohlížeči překrývá reklamou. Program jsme identifikovali
na stovkách modelů a verzí Androidu, včetně produktů od ZTE, Archos a myPhone, které většinou nejsou certifikovány Googlem.

„Škodlivé aplikace mohou být bohužel nainstalovány na úrovni firmwaru dřív, než se dostanou k zákazníkům, aniž by o tom věděl výrobce,“ vysvětluje expert na mobilní bezpečnost v Avastu, Nikolaos Chrysaidos.

„Pokud je aplikace instalována na úrovni firmwaru, je velmi obtížné ji odstranit. Vyžaduje to spolupráci dodavatelů zabezpečení, Googlu a výrobců mobilních zařízení. Společně můžeme pro uživatele Androidů zajistit bezpečnější mobilní ekosystém.“

Jak rozpoznám Cosiloon na mém telefonu?

Rozpoznat, že je tento adware ve vašem zařízení, není snadné. A není ani jasné, jak se do zařízení vlastně dostal. Víme ale, že autoři malwaru řídící server neustále aktualizovali novými škodlivými daty. Výrobci zároveň pokračovali i v dodávání nových zařízení s předinstalovaným dropperem (škodlivým programem).

Ukázka nechtěné reklamy, která se zobrazuje uživatelům

Právě škodlivý program dropper je důvodem, proč adware v telefonu neodhalíme hned. Některé antivirové aplikace sice výskyt škodlivých dat oznamují, ale dropper je nainstaluje zpět. Dropper sám o sobě ze zařízení odebrán být nemůže, takže třetí strana má i nadále možnost na Android cokoliv instalovat. Tým našich analytiků zachytil, že na zařízeních se skrz dropper instaluje adware, nicméně stejně snadno by mohl také stahovat spyware, ransomware nebo jakýkoliv jiný druh hrozby.

Cosiloon, který byl již dříve analyzován společností Dr. Web, je aktivní více než tři roky a je obtížné jej odstranit, protože je nainstalovaný na úrovni firmwaru.

Jak adware odstranit?

Mobilní aplikace Avast Mobile Security dokáže odhalit a odinstalovat část nechtěných dat (tzv. payload), ale nemá oprávnění vypnout dropper – to je práce pro službu Google Play Protect, kterou Google v reakci na šíření adwaru aktualizoval.
Je-li zařízení infikováno, mělo by dojít k automatickému vypnutí obou komponent.
V Avastu registrujeme, že se to už děje, protože od chvíle, kdy Google Play Protect začal fungovat, klesá počet zařízení infikovaných novými verzemi Cosiloon.

Cosiloon mohou uživatelé deaktivovat i sami v nastavení telefonu. Prvním krokem je najít dropper, který se v nastavení vyskytuje pod názvy "CrashService", "ImeMess" nebo "Terminal" s obecnou ikonkou Android. Potom je potřeba kliknout na tlačítko
s deaktivací přímo na stránce aplikace, pokud je k dispozici (toto se liší podle verzí systému Android). Tím je deaktivován dropper a Avast následně může nenávratně odinstalovat zbytek škodlivého kódu.

Aplikaci Avast Mobile Security si můžete zdarma stáhnout z Google Play.