Sledujte nás na YouTube

Skryté nebezpečí: některé smartphony s Androidem mají předinstalovaný malware

Analytici společnosti Avast nově objevili adware předinstalovaný na několika stovkách modelů a verzí zařízení Android. Konkrétně se jedná o telefony od značek ZTE, Archos a myPhone. Většina těchto zařízení přitom vůbec není certifikovaná Googlem. A právě některé telefony těchto výrobců obsahovaly skrytý adware/malware.

Android malware

Ten nese označení “Cosiloon” funguje tak, že webovou stránku v prohlížeči překrývá reklamou. Postiženy jsou tisíce uživatelů a jen v minulém měsíci jsme nejnovější verzi tohoto adware zaznamenali přibližně na 18 000 zařízení uživatelů Avastu. Infikovány jsou telefony ve více než 100 zemích světa, včetně České republiky, Německa, Velké Británie, Ruska, Itálie a Spojených států.

Adware, který byl již dříve analyzován společností Dr. Web, je aktivní více než tři roky. Je obtížné jej odstranit, protože je nainstalovaný na úrovni firmwaru, což může být nebezpečné.

Škodlivé aplikace mohou být bohužel nainstalovány na úrovni firmwaru dřív, než se dostanou k zákazníkům, aniž by o tom věděl výrobce,“ popsal expert na mobilní bezpečnost v Avastu, Nikolaos Chrysaidos. „Pokud je aplikace instalována na úrovni firmwaru, je velmi obtížné ji odstranit. Vyžaduje to spolupráci dodavatelů zabezpečení, Googlu a výrobců mobilních zařízení. Společně můžeme pro uživatele Androidů zajistit bezpečnější mobilní ekosystém.

Avast je v kontaktu se společností Google, která se už problémem zabývá. Za pomocí interně vyvinutých technik podnikl Google kroky ke zmírnění škodlivosti mnoha variant aplikací na vícero modelech zařízení. Google aktualizoval i svoji službu Play Protect, aby v budoucnu zajistil bezpečnost těchto aplikací. Firma již oslovila vývojáře firmwaru, aby je upozornila a pobídla k řešení problému.

Cosiloon je složité rozpoznat

V minulosti laboratoře Avast Threat Labs občas zaznamenaly zvláštní vzorky Androidu. Zdály se být podobné jiným adwarům, ale vypadaly, že nemají žádný zdroj infekce, zato obsahovaly opakující se skupiny názvů. Mezi nejčastější z nich patřily:

  • com.google.eMediaService

  • com.google.eMusic1Service

  • com.google.ePlay3Service

  • com.google.eVideo2Service

Jak se adware do samotných zařízení dostal, není jasné. Autoři malwaru však řídící server neustále aktualizovali novými škodlivými daty a výrobci pokračovali i v dodávání nových zařízení s předinstalovaným dropperem (škodlivým programem). Některé antivirové aplikace oznamují výskyt škodlivých dat, ale dropper je nainstaluje zpět. Dropper sám o sobě ze zařízení odebrán být nemůže, takže třetí strana může i nadále na zařízení cokoliv instalovat. Tým Avast Threat Labs zachytil, že na zařízeních se skrz dropper instaluje adware, nicméně stejně snadno by mohl také stahovat spyware, ransomware nebo jakýkoliv jiný druh hrozby.

Cosiloon v praxi: obrazovku překryje okno s reklamou
Cosiloon v praxi: obrazovku překryje okno s reklamou

Avast se pokoušel řídící server Cosiloon zablokovat zasíláním žádostí registrátorovi domény a poskytovatelům serverů. První poskytovatel, ZenLayer, rychle reagoval a deaktivoval server, který ale byl po čase obnoven jiným poskytovatelem. Registrátor domény na žádost Avastu neodpověděl, takže řídící server stále funguje.

Vlastní aplikace Avastu s názvem Mobile Security dokáže odhalit a odinstalovat část nechtěných dat (tzv. payload), ale nemá oprávnění vypnout dropper – to je práce pro Google Play Protect. Je-li zařízení infikováno, mělo by dojít k automatickému vypnutí obou komponent. V Avastu registrujeme, že se to děje, protože od chvíle, kdy Google Play Protect začal fungovat, klesá počet zařízení infikovaných novými verzemi Cosiloon.

Jak Cosiloon můžete deaktivovat?

Uživatelé najdou dropper v nastavení telefonu (pod názvy “CrashService”, “ImeMess” nebo “Terminal” s obecnou ikonkou Android). Potom musejí kliknout na tlačítko s deaktivací přímo na stránce aplikace, pokud je k dispozici (toto se liší podle verzí systému Android). Tím deaktivují dropper a Avast následně může nenávratně odinstalovat zbytek škodlivého kódu. Více informací najdete v článku na blogu Avastu (v angličtině).

Roman Hálek

Technologie 21. století mě inspirují a neustále popohání vpřed. Rád o nich píši a ještě radši je všechny zkouším. A pokud zrovna nesedím u klávesnice, s nadšením běhám, nebo se proháním na kole, a s nepatrně menším nadšením dálkově studuji vysokou školu.

17 komentářů

  1. jklejna58 (neregistrovaný)

    Avast? Bohužel, já raději Comodo.

  2. WTF (neregistrovaný)

    Veď to maju všetky :-D a ten malware sa volá Android

  3. Tray (neregistrovaný)

    Avast je super, jen kdyby nevypadal tak strasne telesopacky, plo reklam a nabidek na pro a na dalsi aplikace… Sakra ma to byt aplikace co chrani telefon.

    • Jirka (neregistrovaný)

      Tobe jeste nikdo nerekl, ze antivir na Androidu je nesmysl, protoze z principu architektury Androidu, nemuze proste fungovat. Tady se krasne ukazuje hloupost nekterych uzivatelu, na kterych pochybne firmy jako Avast vydelavaji penize. Nebal bych se to nazvat podvodem.

      • Tray (neregistrovaný)

        viz clanek.
        Pouzivam jej k detekci malwaru, adwaru
        a cisteni a uvolneni RAM.

      • Jirka (neregistrovaný)

        No vsak o tom mluvim. Diky za potvrzeni mych slov. A zasahovat v dnesni dobe do behu Androidu cistenim a uvolnovanim RAM, to uz je vrchol stupldity.

      • Tray (neregistrovaný)

        Bohuzel sprava RAM Androidu je se vylepsila za tech par let, ale porad to nedosahuje kvalit spravy iOS ci WM. A nekdy je potreba RAM nejakym zpusobem uvolnit, pripadne restartovat pristroj.

      • Tray (neregistrovaný)

        Poukoncovat blbosti, co se neukoncili na pozadi a nejsou videt v multitaskingu apod. Jako me tyto veci moc nebavej. RAdeji jsem mel, kdyz se o to dobre staral sam system. Jinak je Android samozrejme mnhel lepsi nez WM, ale toto napriklad.

      • Tray (neregistrovaný)

        A jinak pro detekci adwaru je zas co spatne. Upozornuje na to dobre.

      • Pavel (neregistrovaný)

        Jirka: nikde tu nevidím nic o detekci virů, ale malware. Což je úplně něco jiného. Píšeš něco o čem tu nikdo nepíše. Zkus si znovu přečíst článek a nedělej tu troubu.

    • Jirka (neregistrovaný)

      Pavle, drz se sve rady a poradne si precti na co reagujes at nejsi za stejneho kr3tena jako tray. Pa

  4. Michael (neregistrovaný)

    Zapomneli jste na doogee x5 a mozna i jine. Nejhorsi firmware s instalovanymi mallwar… Tim je telefon uplne na ho..o a zasekany!

  5. Jakub (neregistrovaný)

    Raději nekupovat zařízení s androidem.

  6. kukolar (neregistrovaný)

    preto mi od google domov nič nesmie
    jedine sem tam vyhladávač človek použije ale aj ten od yahoo funguje v pohode

    • Moloch (neregistrovaný)

      Mě je fakt líto těch co si myslí že je windows nebo ios lepší, každý z těchto systémů sbírá stejné množství informací k dalšímu použití .. Co je fakt, čínské telefony pochybných značek raději nebrat a yahoo je asi nejhorší vyhledávač, vždy najde přesně to co člověk nehledá, kromě toho ja na androidu neměl nikdy žádný vir ani malware, co dělám špatně? Každopádně mokré sny apple fans se zase můžou snít..

      • Jirka (neregistrovaný)

        Kukolar je tupa WP socka s komplexy, ze si nemuze koupit normalni smartphone. Znama firma.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *