Na Avast blogu se objevila zpráva o havěti, která se vyskytuje na některých nových mobilních telefonech a tabletech s Androidem. Jsou mezi nimi i modely, které lze zakoupit na českém trhu. Třeba některé modely značek ZTE nebo Archos.Přesněji se jedná o adware / dropper s názvem „Cosiloon“. Uživatel je tak běhěm užívání mobilu / tabletu obtěžován reklamou, která se zobrazí přes aplikaci, kterou zrovna používá. Havěť se v zařízení nachází už při jeho prvním zapnutí. Je prostě nedílnou součástí operačního systému telefonu a nelze se jí zbavit ani resetem zařízení do továrního nastavení, natož pak antivirem. Ve skutečnosti jde o hodně „tupou“ aplikaci, která pouze stahuje a instaluje další svinstvo z internetu dle instrukcí, které dostává z řídící adresy http://www.cosiloon.com/version.xml (odtud její název). Jde tak o systémovou aplikaci, čili má výhradní práva, takže ji to s rezervou stačí i jako ochrana před antiviry. Antiviry si můžete představit v roli hodně ostrých loveckých psů, avšak uvázaných na krátkém řetězu 🙂 Právě další stahované a automaticky instalované APK balíčky (bez vědomí uživatele) vedou k budoucímu obtěžování uživatele:
Jiná varianta havěti je pak ještě více integrální součástí Android OS (konkrétně balíku SystemUI.apk) a uživatel je v podstatě zcela bez šance se jí zbavit.
Jak bylo řečeno, na „tupý“ dropper antiviry nedošáhnou. Naopak došáhnou na tzv. „payload“, tedy svinstvo, který dropper stahuje. To je naopak silně chráněno proti tomu, aby bylo ihned antiviry odhaleno (obfuskace kódu, …). Avast uvádí, že variant těchto „payloadů“ zaznamenal několik stovek a vždy za nimi stála instalace her ze sítě Baidu. Nic ale nebrání tomu, aby bylo tímto způsobem do zařízení nainstalováno cokoliv. Třeba agresivní ransomware…
Zajímavostí je, že dropper do telefonu nestahuje a neinstaluje nic v případě, že jsou v telefonu maximálně 3 uživatelské aplikace. I zřejmě kvůli tomu, aby nový telefon „neopruzoval“ s reklamou už v momentě, kdy je vystaven někde na prodejně jako demo. Též se nic nestahuje, pokud je jazyk zařízení nastaven na čínský.
Seznam známých postižených zařízení lze najít zde. Většinou jde o levnější zařízení s chipsetem Mediatek. Je potřeba si uvědomit, že konkrétní model může být dále upravován podle cílové lokality či operátora a nakonec tak nemusí zmiňovanou havěť obsahovat.
Podle statistik Avastu se situace lepší díky spolupráci s Google a schopnostem služby Google Play Protect, díky níž je havěť na dálku vypnuta. Pokud to daná verze Androidu nabízí, může podobnou činnost provést i uživatel a manuálně zastavit (disable) aplikace s názvy CrashService, ImeMess či Terminal (s ikonou Androida). Havěť tak jako tak v zařízení zůstane, ale bude „umrtvená“.
O existenci tohoto problému v ČR se lze přesvědčit třeba na diskuzním fóru CZC.CZ
Po pravde, je na cele situaci nejzajimevejsi pristup CzC, ktery o tom vedel, ale nechtel resit, aby neprisel o prachy. Dobra viztka obchodu.
A podle všeho se to ani neobtěžuje používat https ani DNSSEC, takže je to krásně zneužitelné třetími stranami. Uf!