В декабре 2016 года производитель антивирусов компания Dr.Web сообщила о злоумышленниках, которые нашли способ осуществить атаку на цепочку поставок нескольких производителей мобильных устройств, заразив телефоны вредоносными программами. Эксперты обнаружили вредоносное ПО в прошивке по меньшей мере 26 недорогих моделей смартфонов и планшетов на базе Android.
Как сообщила компания Avast в своем отчете, спустя два года группа ответственных за атаки злоумышленников не только не прекратила работу, но и расширила масштабы деятельности.
Avast опубликовала список из более чем 140 моделей Android-смартфонов и планшетов, в прошивке которых было обнаружено вредоносное ПО Cosiloon, созданное группировкой. При этом за два года функциональность вредоноса не претерпела изменений. Программа запускается из папки "/system" с правами суперпользователя, а ее основной задачей является подключение к удаленному серверу, загрузка XML-файла и установка одного или нескольких приложений, указанных в данном файле.
Поскольку вредоносное ПО поставляется в качестве компонента прошивки, оно может без взаимодействия с пользователем установить любое приложение, нужное преступникам. Практически во всех случаях приложения, устанавливаемые Cosiloon, используются исключительно для показа рекламы поверх других приложений или самого интерфейса Android. Очевидно, что злоумышленники заинтересованы в получении дохода только с помощью рекламы.
Вредоносное ПО не загружает дополнительные приложения в случаях, когда на устройстве установлен китайский язык; публичный IP-адрес устройства находится в китайском диапазоне IP; число локально установленных приложений ниже трех.
Зараженные устройства были обнаружены в более чем 90 странах, единственным общим аспектом устройств является использование чипсетов Mediatek.
Экспертам Avast удалось на короткое время отключить С&C-сервер преступников, однако в связи с тем, что регистратор доменных имен не аннулировал используемый группировкой домен, злоумышленники просто воспользовались услугами другого хостинг-провайдера.