Uwaga! Niektóre telefony Android mają zainstalowane złośliwe oprogramowanie
Nowości z laboratorium wirusów

Uwaga! Niektóre telefony Android mają zainstalowane złośliwe oprogramowanie

Julia Szymańska, 29 maja 2018

Zespół Avast odkrył, że tysiące nowych urządzeń z systemem Android na całym świecie, w tym w Polsce, sprzedaje się z zainstalowanym złośliwym oprogramowaniem: adware.

Cosiloon, oprogramowanie adware rozszerzyło się na około 18 000 urządzeń w ciągu ostatniego miesiąca i zainfekowało telefony w ponad 100 krajach na całym świecie, w tym w Polsce, Niemczech, Wielkiej Brytanii, Rosji, Włoszech i Stanach Zjednoczonych. Adware ten pojawia się na zupełnie nowych urządzeniach, powodując że strony otwierane w przeglądarce atakują podejrzane reklamy.

Analitycy Avast wykryli złośliwe oprogramowanie w setkach modeli i wersji Androida, w tym produktów ZTE, Archos i myPhone, które w większości nie są certyfikowane przez Google.

Niestety złośliwe oprogramowanie może zostać zainstalowane na poziomie oprogramowania układowego, zanim dotrze do klientów, bez wiedzy producenta! 

wyjaśnia ekspert Avast Mobile Security Nikolaos Chrysaidos.

"Jeśli aplikacja jest zainstalowana na poziomie oprogramowania układowego, bardzo trudno ją usunąć. Wymaga współpracy między dostawcami zabezpieczeń, Google i producentami urządzeń mobilnych. Razem możemy stworzyć bezpieczniejszy ekosystem dla użytkowników Androida. "

Jak rozpoznać, czy masz Cosiloon na swoim telefonie?

Rozpoznanie tego adware na twoim urządzeniu nie jest łatwe. Co więcej, nie można z całą pewnością określić, w jaki sposób dostało się do urządzenia. Wiemy jednak, że autorzy serwera zarządzającym złośliwym oprogramowaniem stale aktualizowali nowe jego wersje. W tym samym czasie producenci nadal dostarczali nowy sprzęt z fabrycznie zainstalowanym dropperem (dropper to typ szkodliwego programu).

1-Cosiloon-sample-adware-12-Cosiloon-sample-adware-2

 

 

 

 

 

 

 

 

Przykład niechcianej reklamy wyświetlanej użytkownikom

Właśnie wspomniany  dropper jest przyczyną, dla której nie możemy od razu wykryć adware w telefonie. Niektóre aplikacje antywirusowe wprawdzie wykrywają złośliwe oprogramowanie, ale dropper instaluje je ponownie. Sam Dropper nie może zostać usunięty z urządzenia, więc aplikacje stron trzecich nadal mają możliwość zainstalowania czegokolwiek na naszym systemie Android. Zespół analityków Avast wykrył, że adware jest zainstalowany na urządzeniu, ale może również łatwo pobierać oprogramowanie szpiegujące, oprogramowanie typu ransomware lub jakikolwiek inny rodzaj zagrożenia.

Cosiloon, wcześniej analizowany przez Dr. Web atakuje już ponad trzy lata. Jest trudny do usunięcia, ponieważ jest zainstalowany na poziomie oprogramowania układowego.

Jak usunąć adware?

Avast Mobile Security może wykryć i odinstalować część niechcianych danych (ładunek), ale nie ma możliwości wyłączenia droppera. Ten działa na poziomie Google Play Protect, które Google zaktualizował w odpowiedzi na dystrybucję adware.

Jeśli urządzenie jest zainfekowane, oba komponenty powinny zostać automatycznie wyłączone. Laboratorium Avast monitoruje, że tak się właśnie dzieje, ponieważ od czasu, kiedy Google Play Protect wydała aktualizacje, spada liczba urządzeń zainfekowanych nowymi wersjami Cosiloon.

Użytkownicy mogą również wyłączyć Cosiloon w ustawieniach telefonu. Pierwszym krokiem jest znalezienie droppera, który ukrywa się pod nazwami "CrashService", "ImeMess" lub "Terminal" podszywając się pod ikonę Androida. Następnie kliknij przycisk dezaktywujący na prawej stronie przy nazwie aplikacji (o ile opcja ta jest dostępna, co zależy od wersji Androida). W ten sposób dropper zostanie wyłączony, a  Avast może wreszcie całkowicie odinstalować resztę złośliwego kodu.

DARMOWY AVAST ANTIVIRUS NA ANDROID