Sicherheitsexperten entdeckt eine gefährliche bösartige Instanz in Android-Geräte. Gestern einer der großen Anbieter Anti-Virus bekannt, dass sie gefunden haben, dass über 140 billige Android-Geräte, die sind eine Bedrohung als Cosiloon Virus bekannt an Kunden verkauft werden,.
Cosiloon Android Virus Entdeckung
Eine alarmierende Entdeckung wurde gestern bekannt gegeben durch avast Labs eine bösartigen Instanzen, die in billigen Geräten entdeckt worden,. Der zugehörige Code wird auf Geräten von verschiedenen Anbietern angeboten vorinstalliert, zusätzlich viele von ihnen sind nicht von Google zertifiziert. Noch in vielen Geschäften sowohl physischen als auch online und zu diesem Zeitpunkt gibt es eine Schätzung der gesamten betroffenen Opfer sie werden, kann nicht gemacht werden verkauft. Eine bemerkenswerte Eigenschaft des Cosiloon ist die Tatsache, dass es für eine sehr lange Zeit verborgen geblieben ist. Es wurde ursprünglich entdeckt in 2016 und die vor kurzem erfassten Stämme Kartiercode leicht aktualisiert. Nach den der neueren Version der Bedrohung Auswirkungen Forscher um 18 000 Geräte in mehr als 100 Ländern.
Seitdem wurde die Malware die betroffenen Geräte und detaillierte Informationen entdeckt wurde berichtet, Google. Sie nehmen aktiv Schritte in die Ausbreitung des Virus zu mildern mit der Google Play Schützen. Ihre Aktionen werden dazu beitragen, infiziert Code zu entfernen, die Lage war, Apps auf der Software-Repository zu infiltrieren. Jedoch tatsächliche Abschwächung und effektive Entfernung ist schwierig, aufgrund der Tatsache, dass die Bedrohung kommt vorinstalliert. Google hat Firmware-Entwickler, um das Bewusstsein über das Thema zu erhöhen ausstreckte.
HINWEIS: Eine unvollständige Liste der betroffenen Geräte können sein hier abgerufen.
Die Cosiloon Android Virus Übersicht
Die Cosiloon Android Virus-Infektionen sind mit einem komplexen Verhaltensmuster, die ausgelöst wird, wenn der Virus-Code aktiviert wird,. Die gefährliche Eigenschaft von Cosiloon ist die Tatsache, dass es kein hat Punkt der Infektion, das Virus ist bereits vorinstalliert out-of-the-box. Es scheint, dass die auf dem Google gefunden Pakete Play Store Ähnliche Namen teilen, einige der häufigsten sind die folgenden:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
Die Virus-Dateien sind Teil des Firmware-Code des Geräts und verwenden starke Verschleierung und Stealth-Schutztechniken, die sie vor Entdeckung und Entfernung schützen. Als solche werden sie bewertet kritisch aufgrund der Schwere. Einer der Virusstämme wurde gefunden, verdächtiges Verhalten verfügen und dies hat die Sicherheitsanalyse ausgelöst, die schließlich zu Cosiloon Entdeckung hat dazu geführt,.
Es scheint, dass die Instanz ist eine alte Probe von Januar 2015 das war auf einem Budget Tablet-Angebot entdeckt. Die Termine für die Dateien innerhalb des Pakets Bereich von 2013 zu 2016 die signalisieren, dass die Bedrohung nicht ein neues Angebot ist.
Die Cosiloon Android-Virus hat sich seitdem gefunden worden, viele Nutzlasten verfügen. Es hat viele Varianten und hat sich gezeigt, kontinuierlich durch seine Betreiber aktualisiert werden. Die Kommando- und Kontrollserver verwendet, um die infizierten Maschinen zu steuern, sind noch aktiv und weiterhin aktualisiertem Code verbreiten.
Cosiloon Android-Virus-Infektion Behavior
Der Cosiloon Android-Virus besteht aus zwei separate Pakete (APKs) - das Tropfer und die tatsächlichen Nutzlast. Ältere Versionen gefunden wurden, eine separate Adware-Anwendung in die installierte Feature System Trennwand.
Die ältere Variante des Tropfer, alias Dropper Variante A. Es ist eine kleine Anwendung, die keine Verschleierung nicht verfügt und ist völlig passiv. Es wird in den Systemanwendungen unter verschiedenen Namen aufgeführt: “CrashService”, “ImeMess” und andere. Es gibt mehrere Versionen dieses Typs, die alle die gleiche Infektion Algorithmen folgen:
- manifest herunterladen - Ein Manifest-Datei wird von Hacker-Servern heruntergeladen. Die Datei kann unterschiedliche Namen haben und Informationen über die schädlichen Aktionen enthalten, die ausgeführt werden sollen. Die Analysten fanden heraus, dass es sowohl weiße und schwarze Listen, die in erweiterten Kampagnen verwendet werden können,. Die Sicherheitsexperten verfolgen laufende Veränderungen in der Manifest-Datei, wie sie geschehen.
- Installation - Die Dropper-Datei ruft die schädliche Nutzlast von den bereitgestellten Links. Danach wird es in einem vorgegebenen Download-Ordner und installierte auf dem Zielsystem mit einem Standard-Betriebssystembefehl platziert.
- Payload-Service Einführung - Die Manifestdatei hält sich an die Anfang Einträge und werden verwendet, um die Nutzlast-Dienst zu starten. Dies wird verwendet, eine einzurichten persistent Bedrohung Verhalten, die das Virus Datei das Gerät jedes Mal startet gestartet. Der Tropfer selbst als Systemanwendung entwickelt, die ein integraler Teil des Geräte-Firmware-Code ist, und kann nicht durch den Benutzer entfernt werden,.
Die zweite Variante ist bekannt als Dropper Variante B und verfügt über einen ähnlichen Code aber es nicht eine separate Systemanwendung enthalten. Der Dropper Code selbst wird in einer der wichtigsten Teile des Android-Betriebssystem eingebettet - die Benutzeroberfläche (SystemUI.apk). Dies macht die droper Datei fast unmöglich, durch den Benutzer zu entfernen. Dieses Paket enthält die implementierte Benutzeroberfläche, Status, Benachrichtigung, Bar, lockscreen Instanzen und etc. Die gesammelten Proben wurden die folgenden Treffer versteckten Virus-Pakete enthalten:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
Dieser Tropftyp verfügt über eine separate Manifest-Datei, die für verschiedene Optionen ermöglicht ausgelöst werden: Installation zusätzlicher Paketdateien, Private Daten-Hijacking und etc.
Cosiloon Android Virus Operationen
Es gibt Hunderte von Nutzlast-Versionen, die auf dem Cosiloon Android Virus-Code basieren, erscheinen. Die Nutzlast ist stark verschleiert, was es schwierig macht, zu analysieren. Die Nutzdatendateien enthält verschlüsselte Anzeige Rahmen Motoren, die Google verfügen, Baidu und Facebook-Motoren. Wie andere fortschrittliche Bedrohungen Spezialist Stealth-Schutz ist enthalten. Es kann Sicherheits-Software erkennen, die mit der Schadcodeausführung stören können. Beispiele für solche Produkte enthalten Anti-Virus-Software, Sandbox-Umgebungen und Hosts für virtuelle Maschinen. Aktualisierte Ladecode wurde gefunden, zusätzliche Überschreibung Signaturen zum Download der Lage sein, aus den Kommando- und Kontrollserver.
Die Nutzlast ist nur dann aktiv, wenn das Tropfer Beispiel ist vorhanden und aktiv. Abhängig von der genauen Konfiguration kann es verschiedene Effekte auf den Zielcomputern auslösen. Es scheint, dass eine der wichtigsten Maßnahmen ist die Verbreitung von intrusive Pop-ups, Werbung und aggressiver Overlays. Durch die Version aktualisiert das Virus Verhalten von präsentiert Anzeigen auf dem Browser oder der Einrichtung Overlays, die gezogen werden, über alle aktiven Anwendungen verschoben. Die Mehrheit der Nutzlasten verfügen über keine Benutzer gerichtete Eintrittspunkte und kann in keiner Weise von den Benutzern gesteuert werden.
Es gibt verschiedene gefälschte Namen, die die Anwendung im Menü des Systems erscheint: „Media“, „EVideo2Service“, und „VPlayer“ sind nur einige der Beispiele. Eines der neuesten Updates verschoben die “Google ++” Name und erscheint eine vorläufige Haftentlassung zu sein, bevor die nächste große Version freigegeben wird.
Es gibt bestimmte Ausführung Sperrmechanismen, die, wenn so konfiguriert aktiviert werden kann:
- Anzahl der installierten Anwendungen
- Sprache & Regionale Einstellungen
- Gerätemodell
- Lage
Wir gehen davon aus, dass zukünftige Versionen verwendet werden können, zu verbreiten Ransomware oder Kryptowährung Bergleute, sowie andere fortschrittliche Bedrohungen für die infizierten Geräte.
Cosiloon Android Virus Auswirkungen
All dies zeigt, dass es, wenn eine aktive Cosiloon Virusinfektion sehr ernste Folgen sind. Der bösartige Code kann dynamisch als Infektion Fortschritte ändern, und es ist nicht bekannt, wie zukünftige Versionen aktualisiert werden. Die Tatsache, dass die ersten Versionen Jahren entdeckt wurden vor und die Hersteller weiterhin infizierte Geräte versenden zeigt, dass Es ist eine weit verbreitete Missachtung der Sicherheit.
Die Sicherheitsexperten haben versucht, die Virus-Verbindungen zu verringern, indem sie Anfragen an die verschiedenen Internet-Service-Provider und Domain-Registrare take down Senden. An diesem Punkt nicht alle kontaktierten Dienste haben darauf reagiert.
Die Sicherheitsexperten beachten Sie, dass die aktuellen Versionen von Antiviren-Produkte erfolgreich die Unterschriften mit der Virusfamilie zugeordnet erkennen kann jedoch können sie die erforderlichen Berechtigungen, um nicht erwerben die Tropfer zu deaktivieren. Dies kann nur durch die Umsetzung der Signaturen im Google erreicht werden Play-Dienst schützen. Google arbeitet aktiv mit der Gemeinschaft, um die laufenden Malware-Entwicklung zu reagieren,.
HINWEIS: Einige Varianten können manuell mit Blick für die folgenden Anwendungen im Anwendungsmenü deaktiviert werden: „CrashService“, „ImeMess“ oder „Terminal“. Die Opfer können auf die Schaltfläche “deaktivieren” Option, die die Pipette der Aktivität beenden sollte und ermöglicht mobile Anti-Virus-Software, um die Virus-Instanz zu entfernen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: