Tanie smartfony z Androidem infekowane malware już podczas produkcji

Avast ostrzega przed najtańszymi urządzeniami z Androidem, bo jak wynika z przeprowadzonych badań, takie sprzęty często trafiają do użytkowników z fabrycznie zainstalowanym szkodliwym oprogramowaniem. Problem ma dotyczyć przede wszystkim urządzeń niecertyfikowanych przez Google, łącznie kilkuset modeli smartfonów i tabletów, jak wspomina Techcrunch, między innymi takich marek jak ZTE, Archos czy myPhone, z których część była lub jest dostępna także w polskich sklepach.

Uwaga zwracana jest przede wszystkim na adware o nazwie Cosiloon, który pojawia się na urządzeniach co najmniej od trzech lat. Avast Threat Labs informuje, że to reklamowe oprogramowanie w najnowszej wersji zainstalowane jest nawet na 18 tysiącach sprawdzonych przez firmę urządzeń. Problem dotyczy ponad 100 krajów, w tym Rosji, Niemiec, Anglii i również Polski – tu także sprzedawane były niektóre z problematycznych urządzeń.

Jak informuje Avast, problem adware został już zgłoszony Gogole, gdzie trwa w tej sprawie dalsze śledztwo. Sprawa nie jest jednak tak prosta, jak można by się było spodziewać. Szkodliwe oprogramowanie występuje na urządzeniach z Androidem pod wieloma nazwami i często trudno jest je odnaleźć, szczególnie gdy zintegrowane zostanie bezpośrednio z firmware.

Firma opisuje jeden z ciekawszych przypadków do dziś wykrywanego szkodliwego oprogramowania, które bazuje na wykorzystaniu dwóch elementów zwanych dropper i payload – odpowiednio zakraplaczem i ładunkiem, zawartością. Pierwszy taki przypadek odnotowano jeszcze w 2015 roku i co ciekawe, właśnie w Polsce na jednym z budżetowych tabletów.

Metoda działania jest dość prosta. Dropper może być aplikacją potrafiącą bez wiedzy użytkownika instalować inne pakiety (owe ładunki) przez szyfrowane połączenie HTTP i jest częścią systemu, przez co samodzielne usunięcie jest niemożliwe. Co więcej droppery mają być instalowane jeszcze na etapie produkcji lub przez operatora. Avast jest w tej sytuacji bezradny – samodzielnie wykrywać i usuwać może tylko wspomnianą zawartość, ale nie droppery – narzędzia instalujące ładunki.

Ładunki przybierają natomiast różne formy, ostatnio na przykład aplikacji Goolge Contacts (to nie literówka) czy Google++. Zmiany następują często, by nie budzić podejrzeń i nie dawać użytkownikom szans na szybkie wychwycenie problemu. Avast zwraca uwagę, że najbardziej niepokojące w całej sytuacji jest to, iż problem był już kilka lat wcześniej opisywany przez Dr.Web i od tamtego czasu niewiele w kwestii tej stosowanej do dziś metody się zmieniło.