Los expertos en seguridad descubrieron una instancia malicioso peligrosa en los dispositivos Android. Ayer uno de los principales proveedores de antivirus han anunciado que han encontrado que más del 140 dispositivos Android baratas que se venden a los clientes incluyen una amenaza conocida como el virus Cosiloon.
Cosiloon Android descubrimiento del virus
Un descubrimiento alarmante fue anunciado ayer por laboratorios Avast de unos casos maliciosos que se ha descubierto en dispositivos baratos. El código asociado está preinstalado en los dispositivos ofrecidos por varios proveedores, además, muchos de ellos no están certificados por Google. Todavía se están vendiendo en muchas tiendas físicas y en línea y hasta la fecha no hay una estimación del total de víctimas afectadas no se pueden hacer. Una característica notable de la Cosiloon es el hecho de que ha permanecido oculto durante un período muy largo de tiempo. Fue descubierto inicialmente en 2016 y las cepas detectadas recientemente cuentan con poco código actualizadas. Según los investigadores la versión más reciente de los impactos de amenazas alrededor 18 000 dispositivos en más de 100 países.
Desde que el malware fue descubierto los dispositivos afectados y la información detallada se informó Google. Están tomando medidas activamente en mitigar la propagación del virus mediante el Google Play Protect. Sus acciones ayudarán a eliminar el código infectado que ha sido capaz de infiltrarse en aplicaciones en el repositorio de software. Sin embargo la mitigación real y efectiva eliminación es difícil debido al hecho de que la amenaza viene pre-instalado. Google se ha acercado a los desarrolladores de firmware con el fin de crear conciencia sobre el tema.
NOTA: Una lista parcial de los dispositivos afectados puede ser visitada aquí.
El general Virus Cosiloon Android
Las infecciones de virus Cosiloon Android cuentan con un patrón de comportamiento complejo que se inicia una vez que se activa el código del virus. La característica peligrosa del Cosiloon es el hecho de que no tiene una punto de la infección, el virus viene pre-instalado fuera de la caja. Parece ser que los paquetes que se encuentran en la tienda de Google Play comparten nombres similares, algunos de los más comunes incluyen los siguientes:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
Los archivos de virus son parte del código de firmware del dispositivo y el uso de técnicas de ofuscación fuertes y protección de sigilo que los protegen de descubrimiento y extracción. Como tales, se han valorado como crítico debido a la gravedad. Una de las cepas del virus se ha encontrado que cuentan con un comportamiento sospechoso y esto ha provocado el análisis de la seguridad de que en última instancia ha llevado al descubrimiento de Cosiloon.
Parece ser que el caso es una muestra a partir de enero de edad 2015 que fue descubierta en una oferta tableta presupuesto. Las fechas de los archivos dentro de la gama del paquete 2013 a 2016 que indica que la amenaza no es una oferta nueva.
El virus Cosiloon Android ha desde entonces ha encontrado que cuentan con muchas cargas útiles. Tiene muchas variantes y se ha encontrado que actualizarse continuamente por sus operadores. Los servidores de comando y control utilizados para controlar las máquinas infectadas siguen activos y continúan extendiéndose código actualizado.
Cosiloon Android Comportamiento infección por el virus
El virus Cosiloon Android consiste en dos paquetes separados (APK) - el cuentagotas y lo actual carga útil. Las versiones anteriores de que se han encontrado para ofrecer una aplicación adware independiente instalada en el sistema dividir.
La variante más antigua del gotero, también conocido como Cuentagotas variante A. Es una aplicación de pequeño tamaño que no cuentan con ninguna ofuscación y es completamente pasivo. Que aparece en las aplicaciones del sistema bajo diferentes nombres: “CrashService”, “ImeMess” y otros. Hay varias versiones de este tipo que todos siguen los mismos algoritmos de infección:
- Manifiesto Descargar - Un archivo de manifiesto se descarga desde los servidores de hackers. El archivo puede tener nombres diferentes y contienen información acerca de las acciones maliciosas que se van a llevar a cabo. Los analistas encontraron que hay dos listas blancas y negras que se pueden utilizar en las campañas avanzadas. Los expertos en seguridad están rastreando los cambios continuos en el archivo de manifiesto a medida que ocurren.
- Instalación - El archivo gotero recupera la carga maliciosa de los enlaces proporcionados. Posteriormente se coloca en una carpeta de descarga predefinida y se instala en el sistema de destino mediante un comando estándar de sistema operativo.
- Lanzamiento de servicio de carga útil - El archivo de manifiesto se adhiere a la puesta en marcha entradas y se utilizan para iniciar el servicio de carga útil. Esto se utiliza para establecer una persistente amenaza comportamiento que pone en marcha el archivo de virus cada vez que se inicia el dispositivo. El gotero en sí está diseñado como una aplicación de sistema que es una parte integral del código de dispositivos de firmware y no se puede quitar por los usuarios.
La segunda variante es conocida como la Gotero Variante B y cuenta con un código similar sin embargo, no contiene una aplicación de sistema separado. El código gotero en sí está incrustado en una de las partes principales del sistema operativo Android - la interfaz de usuario (SystemUI.apk). Esto hace que el archivo Droper casi imposible de eliminar por el usuario. Este paquete incluye la interfaz de usuario implementado, estado, notificación, bar, instancias LOCKSCREEN y etc. Se encontró que las muestras recogidas para contener los siguientes paquetes de virus ocultos:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
Este tipo gotero cuenta con un archivo de manifiesto separado que permite varias opciones, que se activará: instalación de archivos de paquetes adicionales, secuestro de datos privados y etc..
Operaciones de virus Cosiloon Android
Hay cientos de versiones de carga útil que parecen estar basado en el código del virus Cosiloon Android. La carga útil se ofusca en gran medida lo que hace que sea difícil analizar. Los archivos de carga útil contiene motores marco ad codificados que cuentan con Google, motores de Baidu y Facebook. Al igual que otras amenazas avanzadas de un especialista la protección de sigilo está incluido. Es capaz de detectar el software de seguridad que pueden interferir con la ejecución de código malicioso. Ejemplos de tales productos incluyen software anti-virus, entornos de caja de arena y hosts de máquina virtual. código de carga actualizado se ha encontrado para ser capaz de descargar las firmas de anulación adicionales de los servidores de comando y control.
La carga útil está activa sólo cuando la instancia gotero está presente y activo. Dependiendo de la configuración exacta que puede desencadenar varios efectos en los equipos de destino. Parece ser que una de las principales acciones es la propagación de intrusivos pop-ups, anuncios y superposiciones agresivos. A través de la versión actualiza el comportamiento del virus ha pasado de la presentación de los anuncios en la parte superior del navegador o la creación de superposiciones que se dibujan sobre todas las aplicaciones activas. La mayoría de las cargas útiles que no cuentan con ningún puntos de entrada orientada al usuario y no se puede controlar de ninguna manera por los usuarios.
Hay varios nombres falsos que aparece la aplicación en el menú del sistema: “MediaService”, “EVideo2Service”, y “VPlayer” son algunos de los ejemplos. Una de las últimas actualizaciones desplazado a la “Google ++” nombrar y que parece ser una versión intermedia antes de liberar la próxima versión mayor.
Hay ciertos mecanismos de ejecución de restricción que se pueden activar si se ha configurado de modo:
- Número de aplicaciones instaladas
- Idioma & Ajustes regionales
- Modelo de dispositivo
- Ubicación
Anticipamos que las futuras versiones se pueden utilizar para difundir ransomware o mineros criptomoneda, así como otras amenazas avanzadas a los dispositivos infectados.
Impacto Virus Cosiloon Android
Todo esto muestra que hay consecuencias muy graves por una infección de virus activa Cosiloon. El código malicioso puede cambiar dinámicamente a medida que los avances de infección y no se sabe qué versiones futuro será actualizado. El hecho de que las versiones iniciales fueron descubiertos hace años y los fabricantes continuaron para enviar dispositivos infectados muestra que hay un desconocimiento generalizado de la seguridad.
Los expertos en seguridad han tratado de mitigar las conexiones de virus mediante el envío de solicitudes de derribar a los distintos proveedores de servicios de Internet y los registradores de dominios. En este punto hay servicios de todo contactados han respondido.
Los analistas de seguridad, tenga en cuenta que las versiones actuales de los productos antivirus pueden detectar con éxito las firmas asociadas a la familia del virus pero no pueden adquirir los permisos necesarios con el fin de desactivar los goteros. Esto sólo se puede lograr mediante la implementación de las firmas en el servicio de Google Play Proteger. Google está trabajando activamente con la comunidad a fin de responder al desarrollo de malware en curso.
NOTA: Algunas variantes se pueden desactivar manualmente mirando hacia fuera para las siguientes aplicaciones en el menú de aplicaciones: “CrashService”, “ImeMess” o “Terminal”. Las víctimas pueden hacer clic en el “inhabilitar” opción que debe poner fin a la actividad del gotero y permitir que el software antivirus móvil para eliminar la instancia de virus.