Les experts en sécurité ont découvert une instance malveillant dangereux dans les appareils Android. Hier, l'un des principaux fournisseurs d'anti-virus ont annoncé qu'ils ont constaté que plus de 140 bon marché les appareils Android qui sont vendus aux clients comprennent une menace connue sous le nom de virus Cosiloon.
Cosiloon Android Virus Découverte
Une découverte inquiétante a été annoncée hier par Labs avast d'un cas malveillant qui a été découvert dans des appareils bon marché. Le code associé est pré-installé sur les appareils offerts par divers fournisseurs, En outre beaucoup d'entre eux ne sont pas certifiés par Google. Pourtant, ils sont vendus dans de nombreux magasins physiques et en ligne et à cette date là une estimation des victimes du total de personnes touchées ne peuvent pas être. Une caractéristique notable du Cosiloon est le fait qu'il est resté caché pendant une très longue période de temps. Il a d'abord été découvert en 2016 et les souches récemment détectées code de fonction mis à jour légèrement. Selon les chercheurs de la nouvelle version des impacts des menaces autour 18 000 appareils dans plus de 100 pays.
Depuis le logiciel malveillant a été découvert les appareils concernés et des informations détaillées Google a été rapporté. Ils prennent activement des mesures en atténuer la propagation du virus à l'aide du Google Play Protect. Leurs actions contribueront à supprimer le code infecté qui a été capable d'infiltrer des applications sur le référentiel de logiciels. Cependant l'atténuation et l'élimination efficace réelle est difficile en raison du fait que la menace est pré-installé. Google a pris contact avec les développeurs du firmware afin de sensibiliser le public à la question.
REMARQUE: Une liste partielle des appareils concernés peut être accessible ici.
Le virus Cosiloon Android Présentation
Les infections virales Cosiloon Android disposent d'un modèle de comportement complexe qui est lancé une fois que le code du virus est activé. La caractéristique dangereuse de Cosiloon est le fait qu'il ne dispose pas d'un point d'infection, le virus est livré pré-installé hors de la boîte. Il semble que les paquets trouvés sur le Google Play Store partager des noms similaires, certains d'entre les plus courantes sont les suivantes:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
Les fichiers de virus font partie du code du firmware de l'appareil et utiliser obscurcissement forts et techniques de protection stealth qui les protègent de la découverte et l'enlèvement. À ce titre, ils sont classés comme critique en raison de la gravité. L'une des souches de virus a été trouvé à présenter un comportement suspect et cela a déclenché l'analyse de sécurité qui a conduit finalement à la découverte de Cosiloon.
Il semble que l'instance est un ancien échantillon de Janvier 2015 qui a été découvert sur une offre de tablette budgétaire. Les dates sur les fichiers à l'intérieur de la gamme de paquet de 2013 à 2016 qui signale que la menace n'est pas une nouvelle offre.
Le virus Android Cosiloon a depuis été trouvé de nombreuses charges utiles en vedette. Il a de nombreuses variantes et a été trouvé à être mis à jour en permanence par ses opérateurs. Les serveurs de commande et de contrôle utilisés pour contrôler les machines infectées sont toujours actifs et continuent de se propager code mis à jour.
Cosiloon applications Virus Infection Comportement
Le virus Android Cosiloon se compose de deux paquets séparés (APK) - la compte-gouttes et le réel charge utile. Les anciennes versions de celui-ci ont été trouvés à présenter une application adware séparé installé dans le système cloison.
L'ancienne variante du compte-gouttes, également connu sous le nom Pipette variante A. Il est une application de petite taille qui ne comporte pas de faux-fuyants et est complètement passif. Il est listé dans les applications du système sous différents noms: “CrashService”, “ImeMess” et d'autres. Il existe plusieurs versions de ce type qui suivent tous les mêmes algorithmes d'infection:
- Télécharger Manifest - Un fichier manifeste est téléchargé à partir de serveurs pirates. Le fichier peut avoir des noms différents et contiennent des informations sur les actions malveillantes qui doivent être exécutées. Les analystes ont découvert qu'il ya des listes blanches et noires qui peuvent être utilisés dans des campagnes avancées. Les experts en sécurité sont le suivi des changements en cours dans le fichier manifeste comme ils se produisent.
- Installation - Le fichier de compte-gouttes récupère la charge utile malveillante à partir des liens fournis. Ensuite, il est placé dans un dossier de téléchargement prédéfini et installé sur le système cible à l'aide d'une commande standard du système d'exploitation.
- Lancement du service Payload - adhère au fichier manifeste la Commencez entrées et sont utilisés pour démarrer le service de charge utile. Il est utilisé pour mettre en place une menace persistante comportement qui lance le fichier virus chaque fois que le dispositif est lancé. Le compte-gouttes lui-même est conçu comme une application de système qui fait partie intégrante des dispositifs de code du firmware et ne peut pas être supprimé par les utilisateurs.
La deuxième variante est connue sous le Dropper Variante B et dispose d'un code similaire mais il ne contient pas une application de système distinct. Le code de compte-gouttes est lui-même intégré dans l'un des principaux éléments du système d'exploitation Android - l'interface utilisateur (SystemUI.apk). Cela rend le fichier Droper presque impossible à éliminer par l'utilisateur. Ce forfait comprend l'interface utilisateur mis en œuvre, statut, notification, bar, instances lockscreen et etc. On a trouvé les échantillons recueillis pour contenir les paquets de virus cachés suivants:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
Ce type de compte-gouttes dispose d'un fichier manifeste séparé qui permet différentes options de déclencher: l'installation des fichiers de paquets supplémentaires, détournement d'avion de données privées et etc..
Cosiloon Opérations de virus Android
Il y a des centaines de versions de charge utile qui semblent être basé sur le code de virus Android Cosiloon. La charge utile est obscurcie fortement ce qui rend difficile l'analyse. Les fichiers de charge utile contient les moteurs cadres ad encodées qui présentent Google, moteurs Baidu et Facebook. Comme d'autres menaces avancées d'un spécialiste protection furtive est inclus. Il peut détecter un logiciel de sécurité qui peuvent interférer avec l'exécution de code malveillant. Des exemples de ces produits comprend un logiciel anti-virus, environnements de bac à sable et des hôtes de machines virtuelles. Code de la charge utile mise à jour a été trouvé pour pouvoir télécharger les signatures de remplacement supplémentaires à partir des serveurs de commande et de contrôle.
La charge utile est active uniquement lorsque l'instance de compte-gouttes est présent et actif. En fonction de la configuration exacte, il peut déclencher divers effets sur les ordinateurs cibles. Il semble que l'une des actions principales est la diffusion de intrusives fenêtres pop-up, annonces et des superpositions agressives. Grâce à la version met à jour le comportement du virus a changé de présenter des annonces sur haut du navigateur ou la mise en place des superpositions qui sont tirées sur toutes les applications actives. La plupart des charges utiles ne disposent pas de points d'entrée face à l'utilisateur et ne peut pas être contrôlé en aucune façon par les utilisateurs.
Il y a plusieurs faux noms que l'application apparaît dans le menu du système: « MediaService », « EVideo2Service », et « VPlayer » sont quelques-uns des exemples. L'une des dernières mises à jour décalée vers la “Google ++” nom et semble être une version intermédiaire avant la prochaine version majeure est libérée.
Il existe certains mécanismes d'interdiction d'exécution qui peuvent être activés si elle est configurée de manière:
- Nombre d'applications installées
- La langue & Paramètres régionaux
- Modèle d'appareil
- La Location
Nous prévoyons que les futures versions peuvent être utilisées pour propager ransomware ou mineurs de crypto-monnaie, ainsi que d'autres menaces avancées pour les appareils infectés.
Impact Virus Cosiloon Android
Tout cela montre qu'il ya des conséquences très graves si une infection par le virus Cosiloon actif. Le code malveillant peut changer de façon dynamique les progrès de l'infection et on ne sait pas comment les futures versions seront mis à jour. Le fait que les premiers lâchers ont été découverts il y a quelques années et les fabricants ont continué à expédier les appareils infectés montre que il y a un mépris généralisé pour la sécurité.
Les experts en sécurité ont tenté d'atténuer les connexions de virus en envoyant des demandes à prendre vers le bas les différents fournisseurs de services Internet et les bureaux d'enregistrement de domaine. A ce stade, les services ne les contactés ont répondu.
Les analystes de sécurité notent que les versions actuelles des produits anti-virus peuvent détecter avec succès les signatures associées à la famille des virus, ils ne peuvent toutefois pas acquérir les autorisations nécessaires pour désactiver les droppers. Cela ne peut être réalisé en mettant en œuvre les signatures dans le Google Play Défendez le service. Google travaille activement avec la communauté afin de répondre au développement des programmes malveillants en cours.
REMARQUE: Certaines variantes peuvent être désactivées manuellement en regardant pour les applications suivantes dans le menu des applications: « CrashService », « ImeMess » ou « Terminal ». Les victimes peuvent cliquer sur le “désactiver” l'option qui devrait mettre fin à l'activité du compte-gouttes et permettre à un logiciel anti-virus mobile pour supprimer l'instance de virus.