Nákaza telefonů s Androidem nepolevuje. Avast objevil rozsáhlý malware

20
Červi
Ilustrační foto (zdroj: Jacob Levina / Flickr)

Bezpečnostní tým Avastu objevil malware, který se dostal do více než stovky zemí včetně Česka. Avast jej identifikoval na 18 000 zařízeních jeho uživatelů, celkově napadl přes 800 různých modelů smartphonů či tabletů. Ve většině případů jde o zařízení bez certifikace Googlu. Některé modely značek ZTE, Archos, Prestigio či myPhone ale certifikaci měly a distribuovaly se běžně v Evropě.

Malware se jmenuje Cosiloon podle serveru, ke kterému se zařízení připojují. Jde o modulární program, jehož klíčová část se nachází přímo ve firmwaru telefonu či tabletu a dle Avastu ji nelze ručně odstranit. Tento tzv. dropper se přihlašuje na server cosiloon.com, odkud stahuje další škodící moduly. Avast zatím objevil jen adware, který systém zaplní vyskakovacími reklamami, dropper ale může do zařízení nepozorovaně nahrát i šmírující spyware nebo vydírající ransomware.

Napadena jen zařízení s MediaTekem

Cosiloon poprvé objevila společnost Dr. Web již v roce 2016. Od té doby pořád funguje a je předinstalovaný na různých zařízeních. Avast nezjistil, ve které části řetězce k nákaze došlo. Cosiloon se mohl do firmwaru dostat u výrobce čipsetu, zařízení, OEM výrobce (Archos jen označkuje cizí produkty) či operátora. Společným znakem nakažených zařízení je, že běží na čipsetu od MediaTeku a Androidu 4.2 až 6.0.

Cosiloon adware
Cosiloon zaplaví systém reklamou

Jak se Cosiloonu zbavit? Avast tvrdí, že jeho Mobile Security (Play Store) dokáže odstranit nainstalované moduly, ale samotný dropper se nachází v systémové oblasti s rootovskými právy a ten odstavit nemůže. V nastavení v seznamu aplikací jej poznáte podle jména CrashService, ImeMess nebo Terminal s obecnou ikonkou Androidu. Aplikaci lze ručně deaktivovat. Google podle Avastu již aktualizoval službu Play Protect, která dokáže Cosiloon izolovat.

TIP: I v Česku prodávané mobily obsahují zlodějský malware Triada

Řešením by také bylo odstavit server, ze kterého si malware stahuje moduly. Na žádost Avastu zablokoval server jeden webhosting, ale žádost na odstavení domény registrátor ignoroval. Útočníci mezitím doménu přesměrovali na nový webhosting, takže malware žije dál.

Nákaza telefonů s Androidem nepolevuje. Avast objevil rozsáhlý malware

Ohodnoťte tento článek!
4.7 (93.33%) 15 hlas/ů

20 KOMENTÁŘE

    • Kdyby ses namahal si precist clanek, tak tento malware nikomu zadne zarizeni nenapada. On uz je z vyroby predinstalovany.
      To znamena, ze se dostal do kodu bud s ovladaci Mediateku, ktere Mediatek distribuuje jako binarku a vyrobce telefonu to nedokaze rozpoznat nebo se do systemu dostal s firmwarem telefonu, ktery si kazdy vyrobce instaluje sam. Je to pomerne divne, protoze Archos, Prestigio či myPhone vznikaji ve stejnych tovarnach, zatimco ZTE ma vlastni a s tamtema nema nic spolecneho. Kdyby to bylo u Mediateku, tak by zase musely byt nakazene i zarizeni od Sony, ktere taky Mediatek u hodne modelu vyuziva.

      Podobna afera byla ozdrojovana pred asi trema roky u Lenova, takze je dost pravdepodobne, ze i tato zprava muze byt pravdiva.

      • Dobře Rede, tak jinak …. už tento ÚDAJNĚ předinstalovaný malware někoho z vás poškodil? Protože pokud je něco malware, má to za úkol škodit a ani ten největší idiot nenainstaluje do svého zařízení malware, přišel by totiž o kšeft. Takže ještě jednou, nějaký poškozený tady, nebo opět fake news? 🙂 A jo, vzhledem k tomu že to psal pan Vaclavík, tak jsem to fakt četl ….

          • Ten MediaTek v tom hraje asi tu roli, že se používá u těch nejlevnějších zařízení, kde prostě výrobci na podporu kašlou a nemají tolik pod kontrolou celý distribuční řetězec.

            Jinak fóra jsou už snad rok plná příspěvků na téma „koupil jsem si levné téma a teď mi tam skáčou reklamy“. V ČR jsem to myslím zahlédl na rootu, dost toho je k vidění na Redditu nego Google Foru. Stačí hledat „ads“ a názvy těch procesů (ImeMess apod.).

            Obecně si asi moc lidí mobily od Prestigia nebo Archosu kupovat nebudou, takže o tom zase není tolik slyšet. Podobně jako se z jedné nafouklé baterky u Applu nebo Samsungu dělá skandál galaktických rozměrů. Neteř měla z Tesca nějaký levný myPhone něco, kde baterku kvůli nafouknutí měnila v záruce dvakrát. Nestalo se nic jen proto, že tam byl odnímatelný plastový kryt, takže to mělo kam uhnout. 🙂

            • @Zann
              Backdoor a botnetovej klient s plnými právy do systému, kterej nemá uživatel oprávnění odstranit, to vám přijda jako „nic se neděje“? Proč vám přijde nutný to bagatelizovat, nechápu, ale tohle je pěknej průšvih, ať se na to dívám jak chci.

            • @ Jan Olšan – Obávám se pane Olšane, že vám jenom zopakuji to, co tvrdím už od dob co je internet internetem. Až někdy potkám živého člověka, kterého podobný „pěkný průšvih“ nějak citelné poškodil, opakuji, citelně, pak to přestanu ne bagatelizovat, protože to bude opravdu pěkný průšvih. Zatím to bylo vždycky jenom mnoho povyku pro nic a ty televizní a jiné zprávy o nevyčíslitelnych škodách, které „hackeři způsobili“, mi přišly dobře pouze jako námět pro špatný film typu Nebezpečná síť. Za svůj život jsem odviroval stovky zařízení a jediné co ty víry způsobovaly bylo, že to usera prostě otravovalo,coz si o bagatelitaci „problémů“ přímo koleduje. Tož asi tak 😉

            • No hlavně že děláte ultra haló z prkotiny u Windows 98 a jen o kousek dál v komentářích spiklenecký teorie o MS 🙂

              Mě přijde, že tu jde o případ urputného defenzivního postoje ve vztahu k oblíbené platformě (Android/Linux?) a přesně naopak, když jde o konkurenci.

        • U toho Lenova to bylo tak, ze se hackeri nabourali do tovarny Lenova a ten malware prihodili do instalacky, ze ktere se instaloval firmware. Idiocie Lenova, ze ten PC meli na internetu.

          Kdyz si vir stahne z telefonu tvoje uzivatelsky data, poskodil te nebo ne? Kdyz by si nekdo bez dovoleni neco ode me vzal vcetne osobnich udaju z meho telefonu, tak se to ani nemusim dozvedet, ale neznamena to, ze jsem nebyl poskozen.

          • No tak to Ti závidím teda, to nevědomí 😀 Mě když někdo někdy poškodil, tak jsem to poznal moc dobře a tedy jsem o tom věděl. Apropos, když už jsme u toho „bez dovolení si vzal“ … o co je tenhle hypotetický pirát horší, než Microsoft, který si bez dovolení tahal věci z Tvého PC celé roky a kdyby Ti to neřekli, tak o tom dodnes nevíš (už Alexa ve Win 98 bylo pěkné svinstvo) …. Né kamaráde, dokud mi prostě za pomocí nějakého viru, či malware, či nazvi si to jak chceš nevykradou účet v bance, auto, nebo barák, tak jde úplně o ho**o, protože dneska má Tvoje osobní údaje (a ani o tom nevíš) kdekdo, takže tohle, není u mě žádné „poškození“, ale jenom naprosto zybtečné vyrábění senzací a hledání problému, kde není …. prostě fake news, klasika …

            • Alexa ve Win98 ? Můžeš mi k tomu přihodit víc? O tomhle bych rád věděl info o co šlo.

            • @NONE – všude si to dohledáš. I ten pitomý Avast to tehdy hlásil jako problém …

        • Citanim tvojich zbytocnych komentarov som stratil 10 minut casu svojho zivota. Prepocitame na peniaze – cena ludskeho zivota bola nedavno stanovena na cca 10 milionov ceskych korun (ceskymi vedcami). Pri priemernej dlzke zivota 75 rokov, si ma obral o cca 2,50 Kc. Ak by si si to vynasobil poctom citatelov prispevku, plus cas na odpovede, vyslo by, ze si celkom skodlivy malware. A ziadna sprava ma o tebe zatial nevarovala.

        • To, že si neumíte představit jiný způsob škody než něco katastrofálního typu zničení HW, zašifrování obsahu nebo něco podobného neznamená, že takové způsoby neexistují a že se nepoužívají… Adware škodí svou otravností, spyware může krást zpeněžitelné osobní údaje, aniž by si toho kdokoliv všiml, miner může dolovat kryptoměny a tím zpomalovat mobil, což vlastník bude přičítat často třeba nainstalovaným aplikacím nebo to bude dělat v takové míře, aby to člověka nepřimělo pořídit nový mobil… Ty minery jsou dnes častou součástí javascriptů ma webovkách a nikdo to moc neřeší a spousta lidí o tom ani neví…

    • Záleží, jak chápeš to poškození.

      Pokud si koupím telefon, stál mě peníze a místo, aby sloužil, otravuje reklamou, je to poškození? Vždyť mě to stálo peníze, peníze mě stály čas. Nakonec mi nezbyde, než koupit jinej model, kterej mi bude sloužit.

      Navíc 18000 mobilů. Je to hodně? V absolutním čísle je to velký množství, tolik mobilů pohromadě nejspíš nikdo z nás nikdy neviděl. Ale v poměru ke globálním prodejům je to zanedbatelný číslo.

      Tím spíš, že se jedná vesměs o čínský plečky, který se u nás buď ani neprodávají, nebo jsou na okraji zájmu.

    • Další mudrc, co nezná rozdíl mezi pojmy malware a virus… Ten první je škodlivý software obecně, ten druhý je škodlivý software, který se umí šířit. Tohle se nešíří, takže to není virus, ale je to malware…

  1. Jasně, že Alexu pamatuju, už průkopník boje proti nechtěnému svinstvu AdAware ji uměl poznat. SpyBot taky. Pak stačilo jen hledat… Né náhodou jsou autory Alexy programátoři z Izraele. Zakazoval jsem ji všude, kde to bylo pro mě důležité 🙂