В Avast Threat Labs обнаружили предустановленное рекламное ПО на Android-устройствах

Сотрудники Avast Threat Labs обнаружили предустановленное рекламное приложение Cosiloon на устройствах 141 модели на базе Android, включая ZTE, Archos и myPhone. По словам исследователей, оно загружено примерно на 18 000 смартфонов пользователей Avast в более чем 100 странах мира, в том числе в России, Италии, Германии, Великобритании и США.

О проблеме сообщили в Google, после чего компания обновила Google Play Protect и обратилась к разработчикам программно-аппаратного обеспечения.

В 2016 году Cosiloon анализировали в Dr. Web. По оценке специалистов, угроза существует более трех лет.

Идентификация

На протяжении нескольких лет специалисты Avast изучали сигнатуры, схожие с другими образцами рекламного ПО. Они не имели точек заражения, а имена пакетов походили друг на друга. Среди самых распространенных:

• google.eMediaService
• google.eMusic1Service
• google.ePlay3Service
• google.eVideo2Service

До сих пор точно неизвестно, как именно Cosiloon попал на устройства. Предположительно, злоумышленники постоянно загружали на управляющий сервер вредоносный payload, а производители продолжали поставлять новые устройства с предустановленным ПО для скрытого развертывания программы.

После того, как Google Play Protect научился идентифицировать данный тип вредоносного ПО, количество зараженных устройств значительно снизилось.

Удаление Cosiloon

После удаления вредоносного ПО или его части автоматически загружается новая версия. Специалисты Avast попытались отключить командный сервер Cosiloon, отправив запросы на удаление регистраторам домена и провайдерам. Провайдер ZenLayer отключил сервер злоумышленников, но через некоторое время он был восстановлен. Регистратор домена не ответил на запросы Avast.

Чтобы удалить рекламный троян самостоятельно, в настройках устройства нужно найти файл CrashService, ImeMess или Terminal и отключить его. После этого Avast Mobile Security или другой антивирус навсегда удалят остальные части Cosiloon.