Наташа Маркова

В Avast Threat Labs обнаружили предустановленное рекламное ПО на Android-устройствах

По оценке специалистов, угроза существует более трех лет. Приложение Cosiloon загружено более чем на 18 000 смартфонов пользователей Avast в более чем 100 странах мира.

791

Сотрудники Avast Threat Labs обнаружили предустановленное рекламное приложение Cosiloon на устройствах 141 модели на базе Android, включая ZTE, Archos и myPhone. По словам исследователей, оно загружено примерно на 18 000 смартфонов пользователей Avast в более чем 100 странах мира, в том числе в России, Италии, Германии, Великобритании и США.

На данный момент этот блок не поддерживается, но мы не забыли о нём!Наша команда уже занята его разработкой, он будет доступен в ближайшее время.

О проблеме сообщили в Google, после чего компания обновила Google Play Protect и обратилась к разработчикам программно-аппаратного обеспечения.

В 2016 году Cosiloon анализировали в Dr. Web. По оценке специалистов, угроза существует более трех лет.

Идентификация

На протяжении нескольких лет специалисты Avast изучали сигнатуры, схожие с другими образцами рекламного ПО. Они не имели точек заражения, а имена пакетов походили друг на друга. Среди самых распространенных:

  • google.eMediaService
  • google.eMusic1Service
  • google.ePlay3Service
  • google.eVideo2Service

До сих пор точно неизвестно, как именно Cosiloon попал на устройства. Предположительно, злоумышленники постоянно загружали на управляющий сервер вредоносный payload, а производители продолжали поставлять новые устройства с предустановленным ПО для скрытого развертывания программы.

После того, как Google Play Protect научился идентифицировать данный тип вредоносного ПО, количество зараженных устройств значительно снизилось.

Удаление Cosiloon

После удаления вредоносного ПО или его части автоматически загружается новая версия. Специалисты Avast попытались отключить командный сервер Cosiloon, отправив запросы на удаление регистраторам домена и провайдерам. Провайдер ZenLayer отключил сервер злоумышленников, но через некоторое время он был восстановлен. Регистратор домена не ответил на запросы Avast.

Чтобы удалить рекламный троян самостоятельно, в настройках устройства нужно найти файл CrashService, ImeMess или Terminal и отключить его. После этого Avast Mobile Security или другой антивирус навсегда удалят остальные части Cosiloon.

Следите за новыми постами по любимым темам

Подпишитесь на интересующие вас теги, чтобы следить за новыми постами и быть в курсе событий.

Безопасность
791
Что думаете?
0 комментариев
Сначала интересные
Курсы
набор еще идетонлайн7590₽
набор еще идетонлайнбесплатно
набор еще идетонлайнбесплатно
набор еще идетонлайн2790₽
Все курсы