El Laboratorio de Amenazas de Avast ha encontrado un adware preinstalado en cientos de diferentes modelos y versiones de dispositivos Android de fabricantes como ZTE, Archos y myPhone. La mayoría de estos dispositivos no están certificados por Google. El adware se llama “Cosiloon“ y crea una capa superficial para mostrar publicidad sobre las páginas web en el navegador.
Una antigua versión del adware fue analizada en su día por Dr.Web y ha estado activo durante al menos tres años: su erradicación es compleja, dado que se encuentra instalado en el nivel del soporte lógico inalterable (firmware) y está eficazmente oculto. El Laboratorio de Amenazas de Avast está en contacto con Google, que está al tanto del problema y ha tomado medidas para mitigar el potencial malicioso de las múltiples versiones de esta aplicación en varios modelos de dispositivos, empleando técnicas desarrolladas internamente.
Identificando a Cosiloon
Los últimos años, el Laboratorio de Amenazas de Avast ha observado como aparecían en su base de datos, cada cierto tiempo, extrañas muestras adware en dispositivos Android. Las muestras aparentan ser similares a la de cualquier otro adware, con la excepción de que este adware pareciera no tener un punto de infección, como si no existiera un vector de entrada. Utilizan muchos nombres de paquete diferentes, estos son algunos de los más comunes:
com.google.eMediaService
com.google.eMusic1Service
com.google.ePlay3Service
com.google.eVideo2Service
Los dispositivos vienen con una aplicación maliciosa preinstalada, un downloader. Este downloader se conecta a un servidor controlado por los atacantes para recibir instrucciones e instalar el payload, el adware que mostrará publicidad a los usuarios de dispositivos afectados. Algunas aplicaciones antivirus son capaces de detectar el adware, pero el downloader los vuelve a instalar de inmediato, y este downloader no puede ser neutralizado por los antivirus.
Avast ha intentado deshabilitar el servidor de comando y control (C&C server) de Cosiloon enviando peticiones a las entidades de registro de dominios y a los proveedores del servidor. El primer proveedor, Zenlayer, respondió rápidamente y desconectó el servidor, pero fue reactivado tiempo después usando un proveedor diferente. Las entidades registradoras de dominio no han respondido aún a la solicitud de Avast, por lo cual el servidor C&C todavía está en funcionamiento.
Avast Mobile Security puede detectar y desinstalar los payloads, pero no cuenta con los permisos requeridos para deshabilitar el downloader, por lo cual a Google Play Protect le toca el trabajo más pesado. Si un dispositivo está infectado debe automáticamente desactivarse el downloader y el payload. Avast sabe que este procedimiento es efectivo porque el Laboratorio de Amenazas de Avast ha observado una caída en la cantidad de dispositivos infectados por nuevas versiones de payload después de que Play Protect empezó a detectar Cosiloon.
Los usuarios pueden encontrar el downloader en las preferencias (bajo el nombre ("CrashService", "ImeMess" o "Terminal", con el icono genérico de Android), y puede hacer clic en el botón "desactivar" de la página de la aplicación, si está disponible (según la versión Android). Esto desactivará el downloader y una vez que Avast elimine el payload, este no volverá a aparecer.
Vía: Avast
Fuente: este post proviene de este blog, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: