Security experts ontdekten een gevaarlijke kwaadaardige bijvoorbeeld op Android-apparaten. Gisteren een van de belangrijkste anti-virus leveranciers aangekondigd dat zij dat meer dan gevonden hebben 140 goedkope Android-apparaten die worden verkocht aan klanten zijn onder meer een bedreiging bekend als de Cosiloon Virus.
Cosiloon Android Virus Discovery
Een alarmerende ontdekking werd gisteren aangekondigd door avast Labs van een kwaadaardige exemplaren die ontdekt is in de goedkope apparaten. De bijbehorende code is vooraf geïnstalleerd op apparaten die door verschillende leveranciers, bovendien veel van hen zijn niet gecertificeerd door Google. Ze nog steeds worden verkocht in vele winkels zowel fysieke als online en deze datum is er een schatting van de totale getroffen slachtoffers kan niet worden gemaakt. Een opmerkelijk kenmerk van de Cosiloon is het feit dat het voor een zeer lange periode van tijd verborgen is gebleven. Het werd aanvankelijk ontdekt in 2016 en de onlangs gedetecteerde stammen zijn voorzien van lichtjes bijgewerkt code. Volgens de onderzoekers is de nieuwere versie van de dreiging effecten rond 18 000 apparaten in meer dan 100 landen.
Sinds de malware werd ontdekt de getroffen apparaten en gedetailleerde informatie werd gemeld Google. Ze zijn actief op het nemen van stappen in het inperken van de verspreiding van het virus met behulp van de Google Play te beschermen. Hun acties zullen helpen bij het verwijderen geïnfecteerde code die in staat zijn om apps te infiltreren in de software repository is geweest. Maar werkelijke mitigatie en effectieve verwijdering is moeilijk te wijten aan het feit dat de dreiging komt vooraf geïnstalleerde. Google heeft bereikt om firmware-ontwikkelaars om de bewustwording over de kwestie.
NOTE: Een gedeeltelijke lijst van de betrokken inrichtingen kunnen worden hier geraadpleegd.
De Cosiloon Android Virus Overzicht
De Cosiloon Android Virusinfecties hebben een complex gedragspatroon dat wordt geïnitieerd zodra het virus code wordt geactiveerd. De gevaarlijke kenmerk van Cosiloon is het feit dat het niet over een bijzondere infectie, het virus wordt geleverd met vooraf geïnstalleerde kant-en-klare. Het lijkt erop dat de pakketten te vinden op de Google Play Store te delen soortgelijke namen, een aantal van de meest voorkomende zijn de volgende:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
Het virus bestanden maken deel uit van het apparaat firmware code en het gebruik van sterke verwarring en stealth bescherming technieken die hen te beschermen tegen ontdekking en verwijdering. Als zodanig worden ze beoordeeld als kritisch vanwege de ernst. Een van de virusstammen is gevonden om verdacht gedrag zijn voorzien en dit heeft de veiligheidsanalyse die uiteindelijk heeft geleid tot de ontdekking Cosiloon's getriggerd.
Het lijkt erop dat de instantie is een oude sample van januari 2015 dat werd ontdekt op een budget tablet aanbod. De data op de dossiers binnenkant van de verpakking bereik van 2013 aan 2016 welke signalen dat de dreiging is niet een nieuw aanbod.
De Cosiloon Android virus is sindsdien gevonden om veel payloads voorzien. Het heeft vele varianten en is gevonden om continu worden bijgewerkt door de exploitanten. De command and control servers gebruikt om de geïnfecteerde computers te controleren zijn nog steeds actief en blijven bijgewerkte code te verspreiden.
Cosiloon Android Virus Infection Behavior
De Cosiloon Android virus bestaat uit twee afzonderlijke pakketten (APK) - de dropper en de feitelijke laadvermogen. Oudere versies van deze zijn gevonden om een aparte adware applicatie in de geïnstalleerde voorzien systeem tussenschot.
De oudere variant van de druppelaar, ook gekend als Dropper variant A. Het is een kleine toepassing die geen verwarring doet functie en is volledig passief. Het is vermeld in het systeem toepassingen onder verschillende benamingen: “CrashService”, “ImeMess” en anderen. Er zijn verschillende versies van dit type dat alle volgen dezelfde infectie algoritmen:
- manifest Download - Een manifest bestand wordt gedownload vanuit hacker servers. Het bestand kan verschillende namen hebben en bevatten informatie over de kwaadaardige acties die moeten worden uitgevoerd zijn. De analisten vonden dat er zowel witte en zwarte lijsten die kunnen worden gebruikt in geavanceerde campagnes. De security experts zijn het bijhouden van voortdurende veranderingen in het manifest bestand als ze gebeuren.
- Installatie - De dropper file haalt de kwaadaardige lading van de aangeboden links. Daarna wordt geplaatst in een vooraf gedefinieerde download map en geïnstalleerd op het doelsysteem met een standaard commando besturingssysteem.
- Payload service te starten - Het manifest bestand voldoet aan de beginnen ingangen en worden gebruikt om de lading service te starten. Dit wordt gebruikt voor het opzetten van een aanhoudende dreiging gedrag dat het virus bestand elke keer dat het apparaat wordt gestart lanceert. De pipet zelf is uitgevoerd als een systeemtoepassing die een integraal onderdeel van de inrichtingen firmwarecode en kan niet worden verwijderd door de gebruikers.
De tweede variant is bekend als Dropper Variant B en heeft een soortgelijke code maar maakt het niet een apart systeem aanvraag behelzen. De pipet code zelf is ingebed in een van de belangrijkste onderdelen van het Android besturingssysteem - de gebruikersinterface (SystemUI.apk). Dit maakt de Droper bestand bijna onmogelijk te verwijderen door de gebruiker. Dit pakket omvat de Gebruikersinterface, toestand, kennisgeving, bar, lockscreen gevallen en etc. De verzamelde monsters bleken de volgende verborgen virus pakketten bevatten:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
Deze druppelaar-type beschikt over een apart manifest file die het mogelijk maakt om verschillende opties te worden geactiveerd: installatie van extra pakket bestanden, privégegevens hijacking en etc.
Cosiloon Android Virus Operations
Er zijn honderden payload versies die lijken te zijn op basis van de Cosiloon Android virus code. De payload is zwaar versluierd wat het moeilijk maakt om te analyseren. De payload-bestanden gecodeerde ad kader motoren die Google voorzien, Baidu en Facebook motoren. Net als andere geavanceerde bedreigingen een specialist stealth bescherming inbegrepen. Het kan beveiligingssoftware die kan interfereren met de kwaadaardige code kan worden uitgevoerd op te sporen. Voorbeelden van dergelijke producten omvat anti-virus software, sandbox omgevingen en virtual machine hosts. Bijgewerkt payload code is gevonden in staat zijn om extra override handtekeningen te downloaden vanaf de command and control servers.
De payload is alleen actief wanneer het druppelflesje instantie aanwezig en actief is. Afhankelijk van de exacte configuratie kan verschillende effecten hebben op het doel computers leiden. Het lijkt erop dat een van de belangrijkste maatregelen is de verspreiding van opdringerige pop-ups, reclame en agressieve overlays. Door de versie werkt het virus gedrag is verschoven van het presenteren van advertenties op de top van de browser of het opzetten van overlays die worden getrokken over alle actieve applicaties. De meeste ladingen niet voorkomen door gebruikers gerichte toegangspunten en kan op geen enkele wijze bestuurd worden door de gebruikers.
Er zijn verschillende valse namen dat de aanvraag wordt weergegeven in het menu van het systeem: “Mediaservice”, “EVideo2Service”, en “VPlayer” zijn enkele van de voorbeelden. Een van de nieuwste updates verschoven naar de “Google ++” te noemen en lijkt een voorlopige invrijheidstelling voordat de volgende grote versie wordt uitgebracht.
Er zijn bepaalde uitvoering blokkeren mechanismen die kan worden ingeschakeld als dat zo geconfigureerd:
- Aantal geïnstalleerde applicaties
- Taal & Regionale instellingen
- Apparaat model
- Plaats
We verwachten dat toekomstige versies kunnen worden gebruikt om zich te verspreiden ransomware of cryptogeld mijnwerkers, evenals andere geavanceerde bedreigingen van de besmette apparaten.
Cosiloon Android Virus Impact
Dit alles laat zien dat er zeer ernstige gevolgen hebben als er een actieve Cosiloon virusinfectie. De kwaadaardige code kan dynamisch veranderen als de infectie vordert en het is niet bekend hoe de toekomstige versies zal worden bijgewerkt. Het feit dat de eerste releases jaar geleden werden ontdekt en de fabrikanten nog steeds besmet apparaten verzenden blijkt dat Er is een wijdverspreide minachting voor de veiligheid.
De security experts hebben geprobeerd om het virus verbindingen te beperken door het sturen naar beneden verzoeken aan de verschillende internet service providers en domeinregistrators. Op dit punt geen alle contact diensten hebben gereageerd.
De security analisten er rekening mee dat de huidige versies van anti-virus producten met succes kan detecteren de handtekeningen geassocieerd met het virus familie maar ze kunnen de vereiste machtigingen niet om de druppelaars te schakelen verwerven. Dit kan alleen worden bereikt door de uitvoering van de handtekeningen in de Google Play te beschermen dienst. Google werkt actief samen met de gemeenschap om te reageren op lopende malware ontwikkeling.
NOTE: Sommige varianten kan handmatig worden uitgeschakeld door op zoek naar de volgende toepassingen in het menu toepassingen: “CrashService”, “ImeMess” of “Terminal”. De slachtoffers kan u op de “onbruikbaar maken” optie die de activiteit van de druppelaar dient te beëindigen en mobiele anti-virus software in staat te stellen het virus instantie te verwijderen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: