Sikkerhedseksperter opdaget en farlig ondsindet eksempel i Android-enheder. I går en af de store anti-virus leverandører meddelt, at de har fundet, at over 140 billige Android-enheder, der sælges til kunder omfatter en trussel kendt som Cosiloon Virus.
Cosiloon Android Virus Discovery
En alarmerende opdagelse blev annonceret i går af Avast Labs af en ondsindet instanser, der er blevet opdaget i billige enheder. Den tilhørende kode er forudinstalleret på enheder, der tilbydes af forskellige leverandører, desuden mange af dem er ikke certificeret af Google. Stadig de bliver solgt i mange butikker, både fysiske og online og på denne dato er der ikke kan foretages et skøn over de samlede berørte ofre. En bemærkelsesværdig egenskab ved Cosiloon er det faktum, at det har været skjult i en meget lang periode. Det blev oprindeligt opdaget i 2016 og de nyligt fundne stammer funktionen lidt opdateret kode. Ifølge forskerne den nyere version af truslen påvirkninger omkring 18 000 enheder i mere end 100 lande.
Lige siden malware blev opdaget de berørte enheder og detaljerede oplysninger blev rapporteret Google. De er aktivt at tage skridt til at afbøde virussen er spredt ved hjælp af Google Play Protect. Deres handlinger vil bidrage til at fjerne inficerede kode, som har været i stand til at infiltrere apps på software-repository. Men faktisk afbødning og effektiv fjernelse er vanskelig på grund af det faktum, at truslen kommer præinstalleret. Google har nået ud til firmware udviklere for at øge bevidstheden om problemet.
BEMÆRK: En delvis liste over de berørte enheder kan være tilgås her.
Den Cosiloon Android Virus Oversigt
De Cosiloon Android Virus infektioner har et komplekst adfærdsmønster, der er initieret, når virussen koden er aktiveret. Den farlige karakteristisk for Cosiloon er det faktum, at det ikke har en punkt af infektion, virussen kommer præinstalleret ud af boksen. Det fremgår, at pakkerne findes på Google Play Store deler lignende navne, nogle af de mest almindelige omfatter følgende:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
De virus filer er en del af enhedens firmware kode og bruge stærke formørkelse og stealth beskyttelse teknikker, der beskytter dem mod opdagelse og fjernelse. Som sådan de er klassificeret som kritisk på grund af sværhedsgraden. En af de virusstammer har vist sig at funktionen mistænkelig adfærd, og det har udløst den sikkerhedsanalyse, der i sidste ende føre til Cosiloon opdagelse.
Det fremgår, at forekomst er en gammel prøve fra januar 2015 der blev opdaget på et budget tablet udbud. Datoerne på filerne inde i pakken spænder fra 2013 til 2016 der signalerer, at truslen er ikke et nyt tilbud.
Den Cosiloon Android-virus har siden da vist sig at funktionen mange nyttelast. Det har mange varianter og har vist sig at være løbende opdateret af dets operatører. De kommando og kontrol servere, der bruges til at styre de inficerede maskiner er stadig aktive og fortsætte med at sprede opdaterede kode.
Cosiloon Android Virus Infektion Adfærd
Den Cosiloon Android-virus består af to separate pakker (APK-filer) - det dropper og den faktiske nyttelast. Ældre versioner af det har vist sig at har en separat adware program installeret i systemet skillevæg.
Den ældre variant af dropper, også kendt som Dråbetæller variant A. Det er en lille størrelse program, der ikke har nogen formørkelse og er helt passiv. Den er opført i system applikationer under forskellige navne: “CrashService”, “ImeMess” og andre. Der er flere versioner af denne type, som alle følger de samme infektion algoritmer:
- Manifest download - En åbenbar filen er hentet fra hacker servere. Filen kan have forskellige navne og indeholde oplysninger om de ondsindede handlinger, der skal udføres. Analytikerne fandt ud af, at der er både hvide og sorte lister, som kan anvendes i avancerede kampagner. De sikkerhedseksperter sporer løbende ændringer i manifestfilen som de sker.
- Installation - Den pipette fil henter ondsindet nyttelast fra de medfølgende links. Bagefter er det placeret i en foruddefineret download-mappe og installeret på målet systemet ved hjælp af et standard operativsystem kommando.
- Payload service Launch - Manifestet fil klæber til start op indgange og er vant til at starte nyttelast tjeneste. Dette bruges til at oprette en vedvarende trussel adfærd, der lancerer virus fil hver gang enheden startes. Pipetten selv er udformet som et system ansøgning, der er en integreret del af apparaterne firmwarekode og kan ikke fjernes af brugerne.
Den anden variant er kendt som Dråbetæller Variant B og har en lignende kode dog indeholder den ikke et separat system ansøgning. Den dropper selve koden er indlejret i en af de vigtigste dele af Android styresystemet - brugergrænsefladen (SystemUI.apk). Dette gør droper filen næsten umuligt at fjerne af brugeren. Denne pakke indeholder den implementeret brugergrænseflade, status, notifikation, bar, lockscreen tilfælde og etc. De indsamlede prøver blev fundet at indeholde følgende skjulte virus pakker:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
Denne dropper typen har separat manifestfil som giver mulighed for forskellige muligheder for at blive udløst: installation af yderligere pakkefiler, privat data kapring og etc.
Cosiloon Android Virus Operationer
Der er hundredvis af nyttelast versioner, der ser ud til at være baseret på Cosiloon Android-virus kode. Nyttelasten er korrumperet kraftigt, hvilket gør det vanskeligt at analysere. Nyttelasten filer indeholder kodede annonce rammebetingelser motorer, der er udstyret Google, Baidu og Facebook-motorer. Ligesom andre avancerede trusler en specialist stealth beskyttelse er inkluderet. Den kan registrere sikkerhedssoftware, der kan forstyrre den ondsindede kode. Eksempler på sådanne produkter omfatter anti-virus software, sandkasse miljøer og virtuelle maskiner værter. Opdateret nyttelast kode har vist sig at være i stand til at hente yderligere overstyring underskrifter fra kommando og kontrol-servere.
Nyttelasten er kun aktiv, når dråbetæller instans er til stede og aktiv. Afhængig af den nøjagtige konfiguration det kan udløse forskellige effekter på målcomputerne. Det fremgår, at en af de vigtigste tiltag er udbredelsen af indgribende pop-ups, reklamer og aggressive overlejringer. Gennem den version opdaterer virus adfærd har ændret sig fra at præsentere annoncer på toppen af browseren eller oprette overlejringer, der er trukket frem for alle aktive programmer. Størstedelen af nyttelast ikke har nogen indgange brugeren vender og kan ikke styres på nogen måde af brugerne.
Der er forskellige falske navne, at ansøgningen vises i systemets menu: ”MediaServices”, ”EVideo2Service”, og ”VPlayer” er nogle af de eksempler. En af de nyeste opdateringer flyttet til “Google ++” navn og synes at være en midlertidig løsladelse før den næste store version er frigivet.
Der er visse udførelse spærring mekanismer, der kan aktiveres, hvis konfigureret så:
- Antal installerede programmer
- Sprog & Internationale indstillinger
- Device Model
- Beliggenhed
Vi forventer, at fremtidige versioner kan bruges til at sprede ransomware eller cryptocurrency minearbejdere, samt andre avancerede trusler mod de inficerede enheder.
Cosiloon Android Virus Impact
Alt dette viser, at der er meget alvorlige konsekvenser, hvis en aktiv Cosiloon virusinfektion. Den ondsindede kode kan ændres dynamisk som infektionen skrider frem, og det vides ikke, hvordan fremtidige versioner vil blive opdateret. Det faktum, at de oprindelige udgivelser blev opdaget år siden, og producenterne fortsatte med at sende inficerede enheder viser, at der er en udbredt ligegyldighed over for sikkerhed.
De sikkerhedseksperter har forsøgt at afbøde de virus-forbindelser ved at sende tage ned anmodninger om de forskellige internetudbydere og domæneregistratorer. På dette tidspunkt ingen alle kontaktet tjenester har reageret.
Den sikkerhed analytikere opmærksom på, at de nuværende versioner af antivirus-produkter med succes kan registrere de underskrifter i forbindelse med virus familien, men de kan ikke erhverve de nødvendige tilladelser for at deaktivere pipetter. Dette kan kun opnås ved at gennemføre de underskrifter i Google Play Protect tjeneste. Google arbejder aktivt med fællesskabet med henblik på at reagere på løbende malware udvikling.
BEMÆRK: Nogle varianter kan manuelt deaktiveres ved at kigge ud for følgende programmer i menuen applikationer: ”CrashService”, ”ImeMess” eller ”Terminal”. Ofrene kan klikke på “deaktivere” mulighed, som skulle afslutte dropper aktivitet og tillade mobil anti-virus software til at fjerne virus instans.