Android - смартфоны поставляются с установленным вредоносным ПО

Вредоносная программа называется «Cosiloon», создающая наложение для объявления на веб-странице в браузере пользователей.

Avast утверждает, что рекламное ПО было активным не менее трех лет, и его трудно удалить, поскольку оно установлено на уровне прошивки и использует сильную обфускацию. Более страшно то, что затронуты тысячи пользователей, и в прошлом месяце последняя версия рекламного ПО находится в 18 000 устройств, расположенных в более чем 100 странах, включая Россию, Италию, Германию, Великобританию, а также США.

Компания заявляет, что она связана с Google, который знает об этой проблеме, а также принимает меры по снижению вредоносных возможностей. Google работает над исправлением вариантов приложений вредоносных программ на смартфонах Android с использованием разработанных внутри компании технологий. Несмотря на то, что есть Google Play Protect, вредоносная программа поставляется с предустановленной версией, что затрудняет решение проблемы. Google прилагает усилия к разработчикам прошивки, чтобы привлечь внимание к этим проблемам и поощрять принятие соответствующих мер.

Также неясно, как рекламное ПО попало на устройства, и авторы вредоносных программ постоянно обновляли сервер управления новыми полезными нагрузками. С другой стороны, производители также продолжали поставлять новые устройства с заранее установленной капельницей. 8 апреля 2018 года была обновлена ​​полезная нагрузка, а имя в приложении запуска было изменено на «Google Download», а некоторые имена классов в коде были изменены (особенно «.backservice» на «.startService»), вероятно, в попытке избежать обнаружение.

Так как вредоносное ПО является частью пакета платформы чипсета, который повторно используется и для других брендов, и, как утверждается, этот набор микросхем принадлежит MediaTek с различными версиями Android от 4,2 до 6,0. Avast говорит, что некоторые антивирусные приложения сообщают о полезных нагрузках, но капельница сразу установит их обратно, и сам капельщик не может быть удален. Таким образом, устройство навсегда будет иметь метод, позволяющий неизвестной стороне установить любое приложение, которое они хотят на нем.

Пользователи могут найти ее в своих настройках (с именем «CrashService», «ImeMess» или «Terminal» с общим значком Android) и можете нажать кнопку «отключить» на странице приложения, если она доступна (в зависимости от версии Android). Это отключит капельницу, и как только Avast удалит полезную нагрузку, она не вернется.