Avast đã phát hiện một loại malware có tên gọi là Cosiloon được đính kèm trong nhiều điện thoại Android giá rẻ không được chứng nhận bởi Google.
Loại malware này sẽ hiển thị các quảng cáo về các ứng dụng trên màn hình hệ điều hành, dụ dỗ người dùng tải về. Các smartphone bị ảnh hưởng đến từ ZTE, Archos và myPhone.
Malware này chứa:
- Một dropper (một chương trình độc hại nằm trong phân vùng /system được thiết kế để "cài đặt" một số loại virus) chỉ hiển thị trong danh sách các ứng dụng hệ thống trong Settings. Dropper này có 2 tên gọi khác nhau 'CrashService' và 'ImeMess'.
- Một payload (một đoạn code chạy trên máy nạn nhân, dùng để thực hiện một số họat động nào đó, hoặc dùng để kết nối về máy của kẻ tấn công) được tải về từ một website.
Avast cho biết: "Tập tin XML chứa thông tin liên quan thứ cần tải về, dịch vụ nào cần khởi động, và chứa một danh sách trắng để loại trừ các quốc gia và thiết bị cụ thể khỏi bị ảnh hưởng.” Nhưng Avast chỉ thấy có vài thiết bị là được đưa vào danh sách này trong các phiên bản ban đầu còn các quốc gia chưa bao giờ xuất hiện cả. Hiện tại, toàn bộ URL của Cosiloon được lập trình cứng vào trong tập tin APK, không thiết bị hay quốc gia nào được loại trừ cả.
Dropper là một phần của firmware hệ thống và người dùng không dễ dàng để loại bỏ nó.
Xem thêm: