Gli esperti di sicurezza hanno scoperto un esempio dannoso pericoloso nei dispositivi Android. Ieri uno dei principali fornitori di antivirus hanno annunciato di aver scoperto che nel corso 140 dispositivi a buon mercato Android che vengono venduti ai clienti includono una minaccia nota come il virus Cosiloon.
Cosiloon Android Virus Discovery
Una scoperta allarmante è stata annunciata ieri dal avast Labs di un istanze maligno che è stato scoperto in dispositivi a basso costo. Il codice associato viene pre-installato sui dispositivi offerti dai vari fornitori, Inoltre molti di loro non sono certificati da Google. Ancora vengono venduti in molti negozi fisici e online e per questo oggi non una stima del totale colpito le vittime non possono essere fatti. Una caratteristica notevole del Cosiloon è il fatto che è rimasto nascosto per un periodo molto lungo di tempo. Inizialmente è stato scoperto nel 2016 e ceppi recentemente identificati dispongono leggermente codice aggiornato. Secondo i ricercatori la versione più recente degli impatti delle minacce in giro 18 000 dispositivi in oltre 100 paesi.
Fin da quando il malware è stato scoperto i dispositivi interessati e le informazioni dettagliate è stato segnalato Google. Essi sono attivamente prendendo passi nel mitigare la diffusione il virus utilizzando il Google Play Protect. Le loro azioni, ad eliminare il codice infetto che è stato in grado di infiltrarsi applicazioni sul repository software. Tuttavia la mitigazione attuale e la rimozione efficace è difficile a causa del fatto che la minaccia viene pre-installato. Google ha raggiunto fuori agli sviluppatori di firmware al fine di sensibilizzare l'opinione pubblica sul problema.
NOTA: Un elenco parziale dei dispositivi interessati può essere si accede qui.
Il Virus Panoramica Cosiloon Android
Le infezioni virus Cosiloon Android presentano un modello di comportamento complesso che viene avviata una volta che il codice del virus viene attivato. La caratteristica pericolosa Cosiloon è il fatto che esso non ha un punto di infezione, il virus viene pre-installato fuori dalla scatola. Sembra che i pacchetti presenti sul Google Play Store condividono nomi simili, alcuni di quelli più comuni includono i seguenti:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
I file virus fanno parte del codice del firmware del dispositivo e utilizzano forti tecniche di offuscamento e di protezione invisibile che li proteggono dalla scoperta e la rimozione. In quanto tali, sono classificati come critico a causa della gravità. Uno dei ceppi di virus è stato trovato per caratterizzare i comportamenti sospetti e questo ha innescato l'analisi di sicurezza che ha in ultima analisi, portare alla scoperta di Cosiloon.
Sembra che l'istanza è un vecchio campione da gennaio 2015 che è stato scoperto su un'offerta di tablet budget. Le date sui file all'interno della gamma pacchetto da 2013 a 2016 che segnala che la minaccia non è una nuova offerta.
Il virus Cosiloon Android è da allora stato trovato per caratterizzare molti carichi. Ha molte varianti ed è stato trovato per essere continuamente aggiornato dai suoi operatori. I server di comando e controllo utilizzati per controllare i computer infetti sono ancora attivi e continuano a diffondere codici aggiornati.
Cosiloon Android infezione da virus Comportamento
Il virus Cosiloon Android è composta da due pacchetti separati (APK) - il contagocce e l'attuale carico utile. Le vecchie versioni di esso sono stati trovati per caratterizzare un applicazione adware separata installata nel sistema partizione.
Il più vecchio variante del contagocce, noto anche come Contagocce variante A. Si tratta di una di piccole dimensioni applicazione che non dispongono di alcun offuscamento ed è completamente passivo. Si è elencato nelle applicazioni di sistema sotto vari nomi: “CrashService”, “ImeMess” e altri. Ci sono diverse versioni di questo tipo, che tutti seguono gli stessi algoritmi di infezione:
- manifesto Scarica - un file manifesto viene scaricato dai server degli hacker. Il file può avere nomi diversi e contengono informazioni sulle azioni dannose che devono essere eseguite. Gli analisti hanno scoperto che ci sono due liste bianche e nere che possono essere utilizzati nelle campagne avanzate. Gli esperti di sicurezza stanno rintracciando i cambiamenti in atto nel file manifesto che avvengono.
- Installazione - Il file contagocce recupera il payload maligno dai link forniti. Successivamente si è posto in una cartella di download predefinita e installato sul sistema di destinazione utilizzando un comando standard del sistema operativo.
- Lancio Payload Servizio - Il file manifesto aderisce al avviare voci e vengono utilizzati per avviare il servizio di carico utile. Questo viene utilizzato per impostare un persistente minaccia comportamento che lancia il file del virus ogni volta che si avvia il dispositivo. Il contagocce si è progettato come un'applicazione di sistema che è parte integrante del codice dispositivi firmware e non possono essere rimossi dagli utenti.
La seconda variante è conosciuta come la Dropper Variante B e dispone di un codice simile tuttavia non contiene un'applicazione sistema separato. Il codice contagocce in sé è incorporato in una delle parti principali del sistema operativo Android - l'interfaccia utente (SystemUI.apk). Questo rende il file droper quasi impossibile da rimuovere da parte dell'utente. Questo pacchetto include l'interfaccia utente implementata, stato, notifica, bar, casi Lockscreen e ecc. I campioni raccolti sono stati trovati per contenere i seguenti pacchetti di virus nascosti:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
Questo tipo contagocce dispone di un file manifesto separato che consente diverse opzioni per essere attivato: l'installazione dei file dei pacchetti aggiuntivi, dati dirottamento privati ed ecc.
Operazioni Virus Cosiloon Android
Ci sono centinaia di versioni del carico utile che sembrano essere basato sul codice del virus Cosiloon Android. Il carico utile è offuscato fortemente che rende difficile analizzare. I file di payload contiene motori quadro annuncio codificati che dispongono di Google, motori Baidu e Facebook. Come altre minacce avanzate uno specialista protezione invisibile è incluso. E 'in grado di rilevare software di sicurezza in grado di interferire con l'esecuzione di codice dannoso. Esempi di tali prodotti comprende software anti-virus, ambienti sandbox e gli host di macchine virtuali. codice payload aggiornato è stato trovato per essere in grado di scaricare le firme di override aggiuntivi dai server di comando e controllo.
Il carico utile è attivo solo quando l'istanza contagocce è presente ed attivo. A seconda della configurazione esatta può innescare vari effetti sui computer di destinazione. Sembra che una delle azioni principali è la diffusione di invadenti pop-up, pubblicità e sovrapposizioni aggressivi. Attraverso la versione aggiorna il comportamento dei virus si è spostato da presentare annunci sulla parte superiore del browser o la creazione di sovrapposizioni che sono disegnati su tutte le applicazioni attive. La maggior parte dei carichi utili non dispongono di alcun punti di ingresso dall'utente di fronte e non può essere controllato in alcun modo da parte degli utenti.
Ci sono vari nomi falsi che l'applicazione viene visualizzata nel menu del sistema: “Mediaservice”, “EVideo2Service”, e “VPlayer” sono alcuni degli esempi. Uno dei più recenti aggiornamenti spostato al “Google ++” nome e sembra essere una release intermedia prima della prossima versione principale viene rilasciata.
Ci sono alcuni meccanismi di esecuzione blocco che possono essere attivati se configurato così:
- Numero di applicazioni installate
- Lingua & Impostazioni internazionali
- Modello del dispositivo
- Posizione
Prevediamo che le versioni future possono essere utilizzati per diffondere ransomware o minatori criptovaluta, così come altre minacce avanzate ai dispositivi infetti.
Cosiloon Android Virus Impact
Tutto questo dimostra che ci sono conseguenze molto gravi in caso di infezione da virus Cosiloon attiva. Il codice maligno può cambiare in modo dinamico, come i progressi di infezione e non si sa come le versioni futuro sarà aggiornato. Il fatto che la release iniziale sono stati scoperti anni fa ei produttori hanno continuato a spedire i dispositivi infettati dimostra che v'è una diffusa indifferenza per la sicurezza.
Gli esperti di sicurezza hanno tentato di attenuare le connessioni del virus con l'invio di abbattere le richieste ai vari fornitori di servizi Internet e registrar di domini. A questo punto servizi non tutti contattati hanno risposto.
Gli analisti della sicurezza di notare che le attuali versioni di prodotti anti-virus in grado di rilevare con successo le firme connessi con la famiglia di virus ma non possono acquisire le autorizzazioni necessarie al fine di disabilitare i contagocce. Ciò può essere ottenuto solo con l'attuazione delle firme nel Google Play Protect servizio. Google sta lavorando attivamente con la comunità al fine di rispondere allo sviluppo del malware continua.
NOTA: Alcune varianti possono essere disattivati manualmente, cercando fuori per le seguenti applicazioni nel menu Applicazioni: “CrashService”, “ImeMess” o “Terminal”. Le vittime possono fare clic sul “disabilitare” opzione che dovrebbe terminare l'attività del contagocce e consentire software anti-virus mobile rimuovere l'istanza virus.