Levné telefony s Androidem obsahují předinstalovaný malware

12. 6. 2018 v sekci Článek

Celý výzkum Avastu navazoval na odhalení z prosince roku 2016, kdy odborníci ze společnosti Dr. Web poukázali na možnou kriminální organizaci, která blíže neurčeným způsobem kompromitovala zásobovací řetězec různých výrobců a mobilní telefony infikovala malwarem. V roce 2016 byl ohrožen firmware nejméně 26 low-costových androidích telefonů a tabletů. Firmware, jenž byl na řadě zařízení a běžel na platformě MediaTek, byl ohrožen nejméně dvěma typy downloaderu – Android.DownLoader.473.origin a Android.Sprovider.7. Na levných zařízeních s Androidem tyto malwary sbíraly bez oprávnění informace o uživateli, zobrazovaly reklamy přes běžící aplikace a stahovaly další škodlivé a nevyžádané aplikace. Většina zařízení, kterých se tato nepříjemnost týkala, byla určena pro ruský trh.

 

Zpět do současnosti – podle Avastu zmíněná kriminální organizace stále působí a do levných androidích zařízení nadále vpravuje malware nazvaný Cosiloon. Podle průzkumu Avastu se kompromitovaná zařízení objevují ve více než 90 zemích, všechna používají MediaTek, což však není hlavní příčinou výskytu malwaru. Na trhu jsou totiž také další zařízení využívající tuto platformu, která postižená nejsou. Lze z toho tedy vyvozovat, že útočníci nekompromitují firmwarové komponenty MediaTeku.

„Analyzovali jsme adware, který v minulosti popsali kolegové z Dr. Web a je znám jako Cosiloon. Tento adware zobrazuje nevyžádanou reklamu přes běžící aplikace a webové stránky. Aktivní je minimálně tři roky. Je náročné jej odstranit, jelikož je instalován na úrovni firmwaru a používá důkladné maskování,“stojí ve zprávě Avastu.

„Se situací se potýkají tisíce uživatelů, v uplynulých měsících jsme tento adware zachytili na 18 000 zařízeních patřících uživatelům Avastu ve více než stovce zemí včetně Ruska, Itálie, Německa, Anglie i USA.“

Avast uveřejnil seznam 140 androidích smartphonů a tabletů, na kterých byla nalezena skupina malwarů souhrnně označovaných jako Cosiloon.

Cosiloon je složen ze dvou APK – tzv. dropperu a payloadu. Ve starší verzi malwaru byl podle expertů separátní adware předinstalovaný v oddílu úložiště, které je vyhrazené pro systém. Nová varianta dropperu je podle odborníků zajímavější. Kód je sice skoro stejný, jako tomu bylo v původní variantě, ale už nejde o samostatnou systémovou aplikaci. Kód je napevno obsažen v SystemUI.apk, což je integrální součást operačního systému Android. Kvůli tomu je pro uživatele prakticky nemožné jej ze zařízení odstranit. Dropper operuje ze složky „/system“ s plnými root právy, stahuje XML ze vzdálených serverů a instaluje další nežádoucí a škodlivé aplikace.

Zajímavým poznatkem výzkumníků je, že se předinstalovaný malware neaktivuje, pokud je jako defaultní jazyk zařízení nastavena čínština, je-li veřejná IP z rozsahu čínských IP adres nebo když je počet nainstalovaných aplikací nižší než tři.

Podle Avastu ale zůstává záhadou, jak a kdy dochází k infikování zařízení, vzhledem k tomu, že se záležitost týká velkého počtu různých výrobců. Vše nasvědčuje tomu, že pokud jde skutečně o organizovanou skupinu, je výběr zařízení náhodný a ke kompromitaci dochází v nějaké části dodavatelského řetězce, je-li zrovna vhodná příležitost, nikoliv však systematicky. Bezpečnostní experti se pokoušeli vyřadit C&C server, odkud je stahován payload skrze žádosti na doménového registrátora a serverového providera. ZenLayer (provider) zareagoval rychle a řídící server deaktivoval. Veškeré aktivity byly pochopitelně rychle přesunuty na jiný server, nový poskytovatel pak na výzvy Avastu nereagoval.

Zatímco payloady jsou adware detektory a mobilní antiviry schopny zachytit a odinstalovat, s dropperem je situace složitější, jelikož tyto nástroje nemají oprávnění k jeho deaktivování na systémové úrovni.

Zdroj: Securityaffairs






Tento web používá cookies. Více informací ROZUMÍM