ASUS UX434

В технике ZTE, Archos, Prestigio, Digma, DEXP нашли встроенные вирусы


Специалисты компании Avast сообщили, что им удалось обнаружить несколько сотен моделей устройств со встроенным в прошивку вредоносным программным обеспечением Cosiloon. Среди заражённых моделей – устройства ZTE, Oysters, Archos, Prestigio, Telefunken, Irbis, Supra, Blaupunkt, Digma, Auchan, Explay, Goclever, DEXP, Haier и многих других брендов, а также операторский планшет Билайн Таб Фаст. Список из 141 наиболее распространённого устройства, «из коробки» заражённого Cosiloon, доступен по этой ссылке. Любопытно, что в списке есть 17 устройств, чьё ПО получило сертификацию Google – это вызывает вопросы к качеству тестирования софта поисковым гигантом.





Как рассказывает Avast, приложение состоит из двух частей, которые специалисты обозначили как «пипетка» и «полезная нагрузка». «Пипетка» является частью прошивки девайса и устанавливается производителем, пользователь не может её удалить без получения root-прав. Существует модификация «пипетки», встраиваемая непосредственно в apk стокового лаунчера – её очень сложно удалить даже с root-правами. Роль «пипетки» сводится к скачиванию вот этого XML-файла, обнаружению в нём ссылки на apk-файл «полезной нагрузки», его скачиванию и установке. Кроме того, «пипетка» обнаруживает, если пользователь или антивирус удаляет «полезную нагрузку» (они никак не защищены от этого) и устанавливает их заново.



В технике ZTE, Archos, Prestigio, Digma, DEXP нашли встроенные вирусы


«Полезная нагрузка» – это уже типичный adware, предлагающий пользователю скачивать приложения при входе в Google Play, браузер по умолчанию или просто при листании меню. Обычно приложение «полезной нагрузки» не видно в списке приложений, однако одна из версий появлялась там под названием Goolge Contacts. В приложение заложено несколько исключений: оно не показывает рекламу, если пользователь выставил китайский язык, если у него установлено меньше трёх приложений, есть также белые списки устройств и стран (пустые). Возможно, именно непоказ рекламы на смартфонах с низким числом установленных приложений позволил производителям, предустанавливающим Cosiloon, спокойно получать сертификацию Google.



В технике ZTE, Archos, Prestigio, Digma, DEXP нашли встроенные вирусы


Специалисты Avast отмечают, что Cosiloon – вовсе не новый софт. Устройства, заражённые им, работают на Android версий 4.2-6.0, а разработка вируса началась не менее пяти лет назад. Более того, Cosiloon обнаружили ещё два года назад – правда, тогда не Avast, а Dr.Web. Разоблачение никак не помешало разработчикам вируса: сайт, с которого скачивается XML-файл с адресом «полезной нагрузки», существует до сих пор. При этом именно его блокировка станет для Cosiloon фатальной: у разработчиков нет возможности изменить ссылку на XML-файл в «пипетке». Avast добилась, чтобы Cosiloon лишили хостинга, но они быстро перенесли сайт на другой хостинг, оставив адрес сайта прежним. На запрос о разделегировании домена Avast не получила ответа.



blackview

© Илья Нерыбов. Mobiltelefon


По материалам Avast


Новости по теме:



Теги:  zte oysters archos prestigio telefunken irbis supra blaupunkt digma auchan explay goclever dexp haier билайн avast



 


vivo v17

Обзор OPPO Reno2 Z

vivo v17

Обзор Sony Xperia 1

Обзор OPPO Reno2 Z от читателя

Обзор ASUS Zenfone 6

Honor 20 vs. Honor 20 Pro

Обзор Huawei Nova 5T

Обзор TCL Plex