RSS канал
Avast обнародовала список из не менее чем 140 моделей Android-смартфонов и планшетов, в прошивке которых было найдено вредоносное ПО Cosiloon, созданное группировкой. Как оказалось, данная программа предустановлена на 18 тыс. устройств, продающихся не менее чем 100 государствах, включая РФ, Италию, Германию, Англию и США.
О проблеме проинформировали в Google, после этого компания обновила Google Play Protect и обратилась к разработчикам программно-аппаратного обеспечения.
Первая информация о вирусе возникла еще в 2016-ом году. По оценке профессионалов, угроза существует не менее 3-х лет.
На протяжении последних нескольких лет профессионалы Avast наблюдали необычные Android-образцы, поступающие в БД компании. Они не имели точек заражения, а имена пакетов походили друг на друга.
Вплоть до этого времени нечетко, как именно адварь угодила на устройства. Предположительно, злоумышленники регулярно загружали на управляющий сервер вредный payload, а производители продолжали поставлять новые устройства с предустановленным ПО для скрытого развертывания программы. После того как «Защита Google Play» начала идентифицировать Cosiloon, количество зараженных устройств «значительно снизилось», проинформировали в Avast.
После удаления вредоносного ПО либо его части автоматом загружается обновленная версия.
Экспертам Avast удалось на короткое время отключить С&C-сервер мошенников, но ввиду того, что регистратор доменных имен не аннулировал применяемый группировкой домен, злоумышленники просто воспользовались услугами другого хостинг-провайдера. Один из провайдеров, ZenLayer, быстро ответил на обращение профессионалов и отключил сервер правонарушителей, однако через некоторое время тот был восстановлен в другом месте. Регистратор домена не ответил на запросы Avast. Это можно сделать в настройках, открыв утилиту CrashService, ImeMess либо Terminal со значком андроид и нажав на кнопку «отключить». Как только дроппер будет деактивирован, Avast Mobile Security либо другой антивирусный продукт удалит пейлоад, и малварь не менее не сможет загрузится на устройство повторно.