Especialistas em segurança descobriram uma instância malicioso perigoso em dispositivos Android. Ontem um dos principais anti-vírus vendedores anunciou que eles descobriram que mais de 140 dispositivos Android baratos que estão sendo vendidos aos clientes incluem uma ameaça conhecida como o vírus Cosiloon.
Cosiloon Android Virus Discovery
Uma descoberta alarmante foi anunciada ontem por Avast Labs de instâncias maliciosas que foram descobertas em dispositivos baratos. O código associado é pré-instalado em dispositivos oferecidos por vários fornecedores, além disso, muitos deles não são certificados pelo Google. Ainda assim, eles estão sendo vendidos em muitas lojas físicas e online e, até esta data, uma estimativa do total de vítimas afetadas não pode ser feita. Uma característica notável do Cosiloon é o fato de ter permanecido escondido por um longo período de tempo. Foi inicialmente descoberto em 2016 e as cepas detectadas recentemente apresentam um código ligeiramente atualizado. De acordo com os pesquisadores, a versão mais recente da ameaça afeta 18 000 dispositivos em mais de 100 países.
Desde que o malware foi descoberto, os dispositivos afetados e informações detalhadas foram relatadas Google. Eles estão ativamente tomando medidas para mitigar a propagação do vírus usando o Google Play Protect. Suas ações ajudarão a remover o código infectado que foi capaz de se infiltrar em aplicativos no repositório de software. No entanto, a mitigação real e a remoção efetiva são difíceis devido ao fato de que a ameaça vem pré-instalada. O Google entrou em contato com desenvolvedores de firmware para aumentar a conscientização sobre o problema.
NOTA: Uma lista parcial dos dispositivos afetados pode ser acessado aqui.
Visão geral do vírus Cosiloon Android
As infecções do Cosiloon Android Virus apresentam um padrão de comportamento complexo que é iniciado assim que o código do vírus é ativado. A característica perigosa do Cosiloon é o fato de não ter um ponto de infecção, o vírus vem pré-instalado sai da caixa. Parece que os pacotes encontrados na Google Play Store compartilham nomes semelhantes, alguns dos mais comuns incluem o seguinte:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
Os arquivos de vírus são parte do código de firmware do dispositivo e usam técnicas fortes de ofuscação e proteção furtiva que os protegem de descoberta e remoção. Como tal, são classificados como crítico devido à gravidade. Descobriu-se que uma das cepas de vírus apresenta comportamento suspeito e isso desencadeou a análise de segurança que acabou levando à descoberta de Cosiloon.
Parece que a instância é uma amostra antiga de janeiro 2015 que foi descoberto em uma oferta de tablet de baixo custo. As datas nos arquivos dentro do pacote variam de 2013 para 2016 que sinaliza que a ameaça não é uma nova oferta.
Desde então, descobriu-se que o vírus Cosiloon Android apresenta muitas cargas úteis. Ele tem muitas variantes e foi continuamente atualizado por seus operadores. Os servidores de comando e controle usados para controlar as máquinas infectadas ainda estão ativos e continuam a espalhar o código atualizado.
Comportamento da infecção por vírus Cosiloon Android
O vírus Cosiloon Android consiste em dois pacotes separados (APKs) - a conta-gotas e o real carga paga. Descobriu-se que versões mais antigas dele apresentam um aplicativo de adware separado instalado no sistema partição.
A variante mais velha do conta-gotas, também conhecido como Variante A do conta-gotas. É um aplicativo de pequeno porte que não apresenta ofuscação e é totalmente passivo. Ele está listado nos aplicativos do sistema sob vários nomes: “CrashService”, “ImeMess” e outros. Existem várias versões deste tipo que seguem os mesmos algoritmos de infecção:
- Download de manifesto - Um arquivo de manifesto é baixado de servidores de hackers. O arquivo pode ter nomes diferentes e conter informações sobre as ações maliciosas que devem ser executadas. Os analistas descobriram que existem listas brancas e negras que podem ser usadas em campanhas avançadas. Os especialistas em segurança estão rastreando as alterações em andamento no arquivo de manifesto conforme elas acontecem.
- Instalação - O arquivo dropper recupera a carga maliciosa dos links fornecidos. Depois disso, ele é colocado em uma pasta de download predefinida e instalado no sistema de destino usando um comando de sistema operacional padrão.
- Lançamento do serviço de carga útil - O arquivo de manifesto segue o comece entradas e são usados para iniciar o serviço de carga útil. Isso é usado para configurar um ameaça persistente comportamento que inicia o arquivo de vírus sempre que o dispositivo é iniciado. O conta-gotas em si é projetado como um aplicativo de sistema que é parte integrante do código de firmware do dispositivo e não pode ser removido pelos usuários.
A segunda variante é conhecida como Conta-gotas Variante B e apresenta um código semelhante, mas não contém um aplicativo de sistema separado. O próprio código do conta-gotas está embutido em uma das partes principais do sistema operacional Android - a interface do usuário (SystemUI.apk). Isso torna o arquivo droper quase impossível de ser removido pelo usuário. Este pacote inclui a interface de usuário implementada, status, notificação, Barra, instâncias de tela de bloqueio e etc. As amostras coletadas continham os seguintes pacotes de vírus ocultos:
- com.android.keyguard.KeyStateBroad
- com.android.keyguard.KeyManager
- com.android.keyguard.KeyguardService
- com.android.keyguard.KeyguardReceiver
Este tipo de conta-gotas apresenta um arquivo de manifesto separado que permite que várias opções sejam acionadas: instalação de arquivos de pacote adicionais, sequestro de dados privados e etc.
Cosiloon Android Virus Operations
Existem centenas de versões de carga útil que parecem ser baseadas no código de vírus Cosiloon Android. A carga útil é fortemente ofuscada, o que torna difícil de analisar. Os arquivos de carga útil contêm mecanismos de estrutura de anúncios codificados que apresentam, Mecanismos Baidu e Facebook. Como outras ameaças avançadas, um especialista proteção discrição está incluído. Ele pode detectar software de segurança que pode interferir na execução de código malicioso. Exemplos de tais produtos incluem software antivírus, ambientes de sandbox e hosts de máquinas virtuais. O código de carga útil atualizado foi capaz de baixar assinaturas de substituição adicionais dos servidores de comando e controle.
A carga útil está ativa apenas quando a instância do conta-gotas está presente e ativa. Dependendo da configuração exata, pode desencadear vários efeitos nos computadores de destino. Parece que uma das principais ações é a disseminação de pop-ups intrusivos, anúncios e sobreposições agressivas. Por meio das atualizações de versão, o comportamento do vírus mudou de apresentar anúncios na parte superior do navegador ou configurar sobreposições que são desenhadas sobre todos os aplicativos ativos. A maioria das cargas úteis não apresenta nenhum ponto de entrada voltado para o usuário e não pode ser controlada de forma alguma pelos usuários.
Existem vários nomes falsos que o aplicativo aparece no menu do sistema: “MediaService”, “EVideo2Service”, e “VPlayer” são alguns dos exemplos. Uma das atualizações mais recentes mudou para o “Google ++” nome e parece ser um lançamento provisório antes que a próxima versão principal seja lançada.
Existem certos mecanismos de restrição de execução que podem ser ativados se configurados:
- Número de aplicativos instalados
- Língua & Configurações regionais
- Modelo do dispositivo
- Localização
Antecipamos que versões futuras podem ser usadas para espalhar ransomware ou mineiros criptomoeda, bem como outras ameaças avançadas aos dispositivos infectados.
Impacto do vírus Cosiloon Android
Tudo isso mostra que há consequências muito sérias se uma infecção ativa pelo vírus Cosiloon. O código malicioso pode mudar dinamicamente à medida que a infecção progride e não se sabe como as versões futuras serão atualizadas. O fato de que os lançamentos iniciais foram descobertos anos atrás e os fabricantes continuaram a enviar dispositivos infectados mostra que há um desprezo generalizado pela segurança.
Os especialistas em segurança tentaram mitigar as conexões de vírus enviando solicitações de remoção para vários provedores de serviços de Internet e registradores de domínio. Neste ponto, nem todos os serviços contactados responderam.
Os analistas de segurança observam que as versões atuais dos produtos antivírus podem detectar com êxito as assinaturas associadas à família de vírus, mas não podem adquirir as permissões necessárias para desabilitar os droppers. Isso só pode ser alcançado implementando as assinaturas no serviço Google Play Protect. O Google está trabalhando ativamente com a comunidade para responder ao desenvolvimento contínuo de malware.
NOTA: Algumas variantes podem ser desativadas manualmente procurando os seguintes aplicativos no menu de aplicativos: "CrashService", “ImeMess” ou “Terminal”. As vítimas podem clicar no “disable” opção que deve encerrar a atividade do conta-gotas e permitir que o software antivírus móvel remova a instância do vírus.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: