セキュリティの専門家がAndroidデバイスで危険な悪意のあるインスタンスを発見しました. 昨日、主要なアンチウイルスベンダーの1つが、 140 顧客に販売されている安価なAndroidデバイスには、CosiloonVirusと呼ばれる脅威が含まれています.
CosiloonAndroidウイルスの発見
警戒すべき発見が昨日発表されました アバストラボ 安価なデバイスで発見された悪意のあるインスタンスの. 関連するコードは、さまざまなベンダーが提供するデバイスにプリインストールされています, さらに、それらの多くはGoogleによって認定されていません. それでも、それらは物理的およびオンラインの両方で多くの店舗で販売されており、今日まで、影響を受けた犠牲者の総数を見積もることはできません。. コシルーンの注目すべき特徴は、それが非常に長い間隠されたままであるという事実です. それは最初に発見されました 2016 最近検出された菌株はわずかに更新されたコードを特徴としています. 研究者によると、脅威の新しいバージョンは周囲に影響を与えます 18 000 以上のデバイス 100 国.
マルウェアが発見されて以来、影響を受けたデバイスと詳細情報がGoogleに報告されました. 彼らは積極的にウイルスの拡散を緩和するための措置を講じています GooglePlayプロテクト. 彼らの行動は、ソフトウェアリポジトリ上のアプリに侵入することができた感染したコードを削除するのに役立ちます. ただし、脅威がプリインストールされているため、実際の軽減と効果的な除去は困難です。. この問題についての認識を高めるために、Googleはファームウェア開発者に連絡を取りました.
ノート: 影響を受けるデバイスの部分的なリストは、 ここにアクセス.
CosiloonAndroidウイルスの概要
Cosiloon Androidウイルス感染は、ウイルスコードがアクティブ化されると開始される複雑な動作パターンを特徴としています. コシルーンの危険な特徴は、それが持っていないという事実です 感染点, ウイルスはプリインストールされています すぐに使える. GooglePlayストアで見つかったパッケージは同じような名前を共有しているようです, 最も一般的なもののいくつかは次のとおりです:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
ウイルスファイルはデバイスのファームウェアコードの一部であり、強力な難読化とステルス保護技術を使用して、検出と削除からウイルスファイルを保護します。. そのようなものとして、彼らはとして評価されます 致命的 重症度のため. ウイルス株の1つが疑わしい動作を特徴としていることが判明し、これがセキュリティ分析のきっかけとなり、最終的にCosiloonの発見につながりました。.
インスタンスは1月の古いサンプルのようです 2015 それは予算のタブレット製品で発見されました. パッケージ内のファイルの日付は、 2013 に 2016 これは、脅威が新しい製品ではないことを示しています.
それ以来、Cosiloon Androidウイルスは、多くのペイロードを特徴としていることが判明しています。. それは多くの変種を持っており、そのオペレーターによって継続的に更新されていることがわかっています. 感染したマシンを制御するために使用されるコマンドアンドコントロールサーバーはまだアクティブであり、更新されたコードを拡散し続けます.
CosiloonAndroidウイルス感染行動
CosiloonAndroidウイルスはで構成されています 2つの別々のパッケージ (APK) — スポイト と実際の ペイロード. それの古いバージョンは、にインストールされた別のアドウェアアプリケーションを備えていることがわかっています システム パーティション.
スポイトの古いバリアント, としても知られている ドロッパーバリアントA. これは、難読化がなく、完全にパッシブな小型のアプリケーションです。. システムアプリケーションにさまざまな名前でリストされています: “CrashService”, “ImeMess” その他. このタイプには、すべて同じ感染アルゴリズムに従うバージョンがいくつかあります:
- マニフェストダウンロード —マニフェストファイルがハッカーサーバーからダウンロードされます. ファイルの名前が異なる場合があり、実行される悪意のあるアクションに関する情報が含まれている可能性があります. アナリストは、高度なキャンペーンで使用できる白と黒の両方のリストがあることを発見しました. セキュリティの専門家は、マニフェストファイルの継続的な変更が発生したときに追跡しています.
- インストール —ドロッパーファイルは、提供されたリンクから悪意のあるペイロードを取得します. その後、事前定義されたダウンロードフォルダに配置され、標準のオペレーティングシステムコマンドを使用してターゲットシステムにインストールされます.
- ペイロードサービスの開始 —マニフェストファイルは 起動 エントリとペイロードサービスを開始するために使用されます. これは、 持続的な脅威 デバイスが起動するたびにウイルスファイルを起動する動作. ドロッパー自体は、デバイスのファームウェアコードの不可欠な部分であり、ユーザーが削除できないシステムアプリケーションとして設計されています.
2番目のバリアントはとして知られています ドロッパーバリアントB 同様のコードを備えていますが、個別のシステムアプリケーションは含まれていません. ドロッパーコード自体は、Androidオペレーティングシステムの主要部分の1つであるユーザーインターフェースに埋め込まれています。 (SystemUI.apk). これにより、ドロッパーファイルをユーザーが削除することはほとんど不可能になります. このパッケージには、実装されたユーザーインターフェイスが含まれています, 状態, 通知, バー, ロックスクリーンインスタンスなど. 収集されたサンプルには、次の隠れたウイルスパッケージが含まれていることがわかりました。:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
このドロッパータイプは、さまざまなオプションをトリガーできる個別のマニフェストファイルを備えています: 追加のパッケージファイルのインストール, プライベートデータの乗っ取りなど.
CosiloonAndroidウイルス操作
CosiloonAndroidウイルスコードに基づいているように見えるペイロードバージョンは数百あります. ペイロードが大幅に難読化されているため、分析が困難です. ペイロードファイルには、Googleを特徴とするエンコードされた広告フレームワークエンジンが含まれています, BaiduとFacebookのエンジン. 他の高度な脅威と同様に、スペシャリスト ステルス保護 含まれています. 悪意のあるコードの実行を妨害する可能性のあるセキュリティソフトウェアを検出できます. このような製品の例には、ウイルス対策ソフトウェアが含まれます, サンドボックス環境と仮想マシンホスト. 更新されたペイロードコードは、コマンドアンドコントロールサーバーから追加のオーバーライドシグネチャをダウンロードできることが判明しました.
ペイロードは、ドロッパーインスタンスが存在し、アクティブな場合にのみアクティブになります. 正確な構成に応じて、ターゲットコンピューターにさまざまな影響を与える可能性があります. 主な行動の1つは 邪魔なポップアップ, 広告と積極的なオーバーレイ. バージョンの更新により、ウイルスの動作は、ブラウザの上に広告を表示したり、アクティブなすべてのアプリケーションに描画されるオーバーレイを設定したりすることからシフトしました。. ペイロードの大部分は、ユーザー向けのエントリポイントを備えておらず、ユーザーが制御することはできません。.
アプリケーションがシステムのメニューに表示されるさまざまな偽の名前があります: 「MediaService」, 「eVideo2Service」, と「VPlayer」はいくつかの例です. 最新のアップデートの1つが “Google ++” 名前と次のメジャーバージョンがリリースされる前の中間リリースのようです.
そのように構成されている場合に有効にできる特定の実行禁止メカニズムがあります:
- インストールされているアプリケーションの数
- 言語 & 地域の設定
- デバイスモデル
- 位置
将来のバージョンを使用して普及できると予想しています ランサムウェア また 暗号通貨マイナー, 感染したデバイスに対するその他の高度な脅威.
CosiloonAndroidウイルスの影響
これらすべては、活発なコシルーンウイルス感染があれば非常に深刻な結果をもたらすことを示しています. 悪意のあるコードは、感染が進行するにつれて動的に変化する可能性があり、将来のバージョンがどのように更新されるかは不明です。. 最初のリリースが数年前に発見され、メーカーが感染したデバイスを出荷し続けたという事実は、 セキュリティは広く無視されています.
セキュリティの専門家は、さまざまなインターネットサービスプロバイダーやドメインレジストラに削除リクエストを送信することで、ウイルス接続を軽減しようと試みました。. この時点で、連絡したすべてのサービスが応答していません.
セキュリティアナリストは、現在のバージョンのアンチウイルス製品はウイルスファミリに関連付けられたシグネチャを正常に検出できますが、ドロッパーを無効にするために必要なアクセス許可を取得できないことに注意してください。. これは、GooglePlayプロテクトサービスに署名を実装することによってのみ達成できます. Googleは、進行中のマルウェア開発に対応するために、コミュニティと積極的に協力しています.
ノート: 一部のバリアントは、アプリケーションメニューで次のアプリケーションを探すことで手動で無効にできます: 「CrashService」, 「ImeMess」または「Terminal」. 被害者はクリックすることができます “無効にする” ドロッパーのアクティビティを終了し、モバイルアンチウイルスソフトウェアがウイルスインスタンスを削除できるようにするオプション.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: