Bezpečnostní tým Avastu objevil malware, který se dostal do více než stovky zemí včetně Česka. Avast jej identifikoval na 18 000 zařízeních jeho uživatelů, celkově napadl přes 800 různých modelů smartphonů či tabletů. Ve většině případů jde o zařízení bez certifikace Googlu. Některé modely značek ZTE, Archos, Prestigio či myPhone ale certifikaci měly a distribuovaly se běžně v Evropě. Malware se jmenuje Cosiloon podle serveru, ke kterému se zařízení připojují. Jde o modulární program, jehož klíčová část se nachází přímo ve firmwaru telefonu či tabletu a dle Avastu ji nelze ručně odstranit. Tento tzv. dropper se přihlašuje na server cosiloon.com, odkud stahuje další škodící moduly. Avast zatím objevil jen adware, který systém zaplní vyskakovacími reklamami, dropper ale může do zařízení nepozorovaně nahrát i šmírující spyware nebo vydírající ransomware.
Napadena jen zařízení s MediaTekem
Cosiloon poprvé objevila společnost Dr. Web již v roce 2016. Od té doby pořád funguje a je předinstalovaný na různých zařízeních. Avast nezjistil, ve které části řetězce k nákaze došlo. Cosiloon se mohl do firmwaru dostat u výrobce čipsetu, zařízení, OEM výrobce (Archos jen označkuje cizí produkty) či operátora. Společným znakem nakažených zařízení je, že běží na čipsetu od MediaTeku a Androidu 4.2 až 6.0.
Cosiloon zaplaví systém reklamouJak se Cosiloonu zbavit? Avast tvrdí, že jeho Mobile Security (Play Store) dokáže odstranit nainstalované moduly, ale samotný dropper se nachází v systémové oblasti s rootovskými právy a ten odstavit nemůže. V nastavení v seznamu aplikací jej poznáte podle jména CrashService, ImeMess nebo Terminal s obecnou ikonkou Androidu. Aplikaci lze ručně deaktivovat. Google podle Avastu již aktualizoval službu Play Protect, která dokáže Cosiloon izolovat.
TIP: I v Česku prodávané mobily obsahují zlodějský malware Triada
Řešením by také bylo odstavit server, ze kterého si malware stahuje moduly. Na žádost Avastu zablokoval server jeden webhosting, ale žádost na odstavení domény registrátor ignoroval. Útočníci mezitím doménu přesměrovali na nový webhosting, takže malware žije dál.
ČLÁNKY DO MAILU