android malware
13

Setki urządzeń ZTE, MyPhone, Prestigio czy Goclever z preinstalowanym złośliwym oprogramowaniem

Co jakiś czas docierają do nas coraz to nowsze informacje dotyczące szkodliwego oprogramowania na urządzenia mobilne. Tym razem bohaterami głównymi stały się smartfony z Androidem, spośród część już ma preinstalowane złośliwe oprogramowanie.

Nowy i bezpieczny? Niekoniecznie

Kupując nowe urządzenie możemy liczyć na to, że będzie bezpieczne i nie znajdziemy na nim żadnego malware’u czy też adware’u. W końcu mówimy tu o jeszcze nieużywanym sprzęcie. Okazuje się jednak, że wcale to nie jest prawda i w niektórych przypadkach użytkownicy w pakiecie startowym otrzymują złośliwe oprogramowanie.

Najnowsze zagrożenie zostało wykryte przez zespół Avast, natomiast używane adware o nazwie Cosiloon opisali wcześniej eksperci Dr. Web. Służy ono wyświetlaniu reklam nad właśnie uruchomioną przeglądarką i nie ma na to żadnej skutecznej metody, aby to w prosty sposób usunąć. Warto dodać, że stosowane jest ono od trzech lat, a jego odinstalowanie wiąże się z czynnościami wymagającymi specjalistycznej wiedzy. Teoretycznie to aplikacja systemowa, normalnie niewidoczna dla użytkownika.

Co na to Google?

Warto tu dodać, że problem z preinstalowanym malware czy adware dotyczy urządzeń bez certyfikatów Google. Na czarnej liście należy umieścić produkty od ZTE, Archosa czy też polskich Goclever, MyPhone i Prestigio. Najczęściej zatem tu chodzi o producentow bazujących na gotowych podzespołach z Azji, które dopiero potem są dostosowywane do wymogów firmy. Firma z Mountain View od razu została poinformowana o problemie i już trwają prace służące zablokowaniu tego złośliwego oprogramowania poprzez aktualizację Usług Google Play oraz Google Play Protect. Te działania powinny w dłuższej perspektywie pomóc wyplenić takie programy z rynku. Kompletną listę znajdziecie tutaj.

W jaki sposób ten malware pracuje? Jest ich kilka rodzajów, ale wszystkie opierają się o podobny plan ataku. Zainfekowany program, tzw. dropper, instaluje się na ukrytej liście, a następnie pobiera niewielki plik, który informuje go, w jaki sposób musi pobrać kolejne. Następnie pobiera APK i instaluje. Potem też mogą wyskakiwać niechciane okienka z reklamami.

Co najgorsze, wykryty malware jest w stanie sam rozpoznawać uruchomionego antywirusa i na czas jego działania wyłączać się. Niestety, trudno obecnie powiedzieć, przez jakie aplikacje ze Sklepu Play można pobrać nieumyślnie takie oprogramowanie. Na liście najbardziej poszkodowanych krajów wymienia się Rosję, Włochy, Niemcy, Wielką Brytanię oraz Francję.

Nie pozostaje nam nic innego, jak poczekać na reakcję samych producentów.

źródło: Avast