Контакты
Подписка
МЕНЮ
Контакты
Подписка

В прошивке более 140 моделей бюджетных Android-устройств обнаружено вредоносное ПО


25.05.2018

В прошивке более 140 моделей бюджетных Android-устройств обнаружено вредоносное ПО

В декабре 2016 года производитель антивирусов компания Dr.Web сообщила о злоумышленниках, которые нашли способ осуществить атаку на цепочку поставок нескольких производителей мобильных устройств, заразив телефоны вредоносными программами. Эксперты обнаружили вредоносное ПО в прошивке по меньшей мере 26 недорогих моделей смартфонов и планшетов на базе Android.

 Как сообщила компания Avast в своем отчете, спустя два года группа ответственных за атаки злоумышленников не только не прекратила работу, но и расширила масштабы деятельности.

 Avast опубликовала список из более чем 140 моделей Android-смартфонов и планшетов, в прошивке которых было обнаружено вредоносное ПО Cosiloon, созданное группировкой. При этом за два года функциональность вредоноса не претерпела изменений. Программа запускается из папки "/system" с правами суперпользователя, а ее основной задачей является подключение к удаленному серверу, загрузка XML-файла и установка одного или нескольких приложений, указанных в данном файле.

 Поскольку вредоносное ПО поставляется в качестве компонента прошивки, оно может без взаимодействия с пользователем установить любое приложение, нужное преступникам. Практически во всех случаях приложения, устанавливаемые Cosiloon, используются исключительно для показа рекламы поверх других приложений или самого интерфейса Android. Очевидно, что злоумышленники заинтересованы в получении дохода только с помощью рекламы.

 Вредоносное ПО не загружает дополнительные приложения в случаях, когда на устройстве установлен китайский язык; публичный IP-адрес устройства находится в китайском диапазоне IP; число локально установленных приложений ниже трех.

 Зараженные устройства были обнаружены в более чем 90 странах, единственным общим аспектом устройств является использование чипсетов Mediatek.

 Экспертам Avast удалось на короткое время отключить С&C-сервер преступников, однако в связи с тем, что регистратор доменных имен не аннулировал используемый группировкой домен, злоумышленники просто воспользовались услугами другого хостинг-провайдера.

Securitylab