O Laboratório de Ameaças da Avast encontrou um adware pré-instalado em centenas de diferentes modelos e versões de dispositivos Android, incluindo dispositivos ZTE, Archos e myPhone. A maioria desses dispositivos não é certificada pelo Google. O adware recebeu o nome “Cosiloon” e cria uma sobreposição para exibir um anúncio em uma página web no navegador do usuário. Milhares de usuários podem ser afetados e, somente no mês passado, o Laboratório de Segurança da Avast detectou a última versão do adware em cerca de 18.000 dispositivos pertencentes a usuários localizados em mais de 100 países, incluindo Brasil, Argentina, México, França, Espanha, Índia, Áustria, bem como alguns usuários dos Estados Unidos.
O adware que foi previamente analisado pelo Dr. Web, está ativo há pelo menos três anos e é difícil de ser removido, visto que foi instalado em nível de firmware e usa forte ofuscação. O laboratório de segurança está em contato com o Google, que está ciente do problema. O Google adotou medidas para atenuar as capacidades maliciosas de muitas variantes de aplicativos em vários modelos de dispositivos, usando técnicas desenvolvidas internamente.
O Google Play Protect foi atualizado para garantir que haja cobertura para esses aplicativos no futuro. No entanto, como os aplicativos vêm pré-instalados com firmware, o problema é difícil de resolver. O Google entrou em contato com desenvolvedores de firmware para conscientizá-los sobres essas questões e os incentivou a tomar medidas para resolver o problema.
Identificando o Cosiloon
Nos últimos anos, o Laboratório de Segurança da Avast observou, de tempos em tempos, algumas amostras estranhas do Android em seu banco de dados. As amostras pareciam ser como qualquer outra amostra de adware, com a exceção de que o adware parecia não ter nenhum ponto de infecção e vários nomes de pacotes semelhantes, sendo os mais comuns:
– com.google.eMediaService
– com.google.eMusic1Service
– com.google.ePlay3Service
– com.google.eVideo2Service
Não está claro como o adware foi inserido nos dispositivos. O servidor de controle estava ativo até abril de 2018 e os autores mantiveram sua atualização com novas cargas. Os fabricantes também continuaram o envio de novos dispositivos com um dropper pré-instalado. Alguns aplicativos antivírus relatam as cargas de malware, mas o dropper – que em si não pode ser removido – as instala novamente, de modo que o dispositivo sempre tenha um método que permita que uma parte desconhecida instale qualquer aplicativo desejado. O Laboratório de Segurança da Avast observou o dropper instalando adware nos dispositivos, porém, também poderia facilmente baixar spyware, ransomware ou qualquer outro tipo de ameaça.
A Avast tentou desativar o servidor C&C do Cosiloon, enviando solicitações de remoção para os provedores do servidor e do registro do domínio. O primeiro provedor, ZenLayer, respondeu rapidamente e desativou o servidor, mas foi restaurado após algum tempo usando um provedor diferente. Já o do registro de domínio não respondeu à solicitação da Avast. Portanto, o servidor C&C ainda está operando.
“Aplicativos maliciosos podem, infelizmente, ser instalados no firmware antes de serem enviados aos consumidores”, disse Nikolaos Chrysaidos, Chefe de Segurança & Inteligência de Ameaças a Dispositivos Móveis da Avast. “Se um aplicativo estiver instalado no firmware é muito difícil removê-lo, tornando imperativas as colaborações na cadeia industrial entre fornecedores de segurança, o Google e OEMs. Juntos, podemos garantir um ecossistema móvel mais seguro para os usuários de Android”.
O Avast Mobile Security pode detectar e desinstalar a carga de malware, mas não pode adquirir as permissões necessárias para desativar o dropper. Por isso, o Google Play Protect precisa realizar o trabalho pesado. Se um dispositivo estiver infectado, o Google Play Protect deve desativar automaticamente o dropper e a carga. A Avast sabe que isso funciona, porque o seu Laboratório de Ameaças observou uma queda no número de dispositivos infectados por novas versões de cargas de malware, depois que o Play Protect começou a detectar o Cosiloon.
Como desativar o Cosiloon
Os usuários podem encontrar o dropper nas configurações (chamado “CrashService”, “ImeMess” ou “Terminal” com um ícone Android genérico). Então, basta clicar no botão “desativar” na página do aplicativo, se disponível (dependendo da versão do Android). Isso desativará o dropper e uma vez que o Avast remover a carga de malware, ela não retornará novamente.
