Avast descubrió que muchos teléfonos Android de bajo costo, no certificados por Google, se envían con una variedad de malware integrado que podría hacer que los usuarios descarguen aplicaciones a las que no tenían la intención de acceder. El malware, llamado llamado Cosilón, superpone anuncios sobre el sistema operativo para promocionar aplicaciones o incluso engañar a los usuarios para que descarguen aplicaciones. Dispositivos enviados desde ZTE, Archos y myPhone.
La aplicación consta de un cuentagotas y una carga útil. “El cuentagotas es una pequeña aplicación sin ofuscación, ubicada en la partición /system de los dispositivos afectados. La aplicación es completamente pasiva, solo visible para el usuario en la lista de aplicaciones del sistema en ‘configuración’. Hemos visto el cuentagotas con dos nombres diferentes, ‘CrashService’ e ‘ImeMess’”, escribió Avast. Luego, el cuentagotas se conecta con un sitio web para obtener las cargas útiles que los piratas informáticos desean instalar en el teléfono. “El manifiesto XML contiene información sobre qué descargar, qué servicios iniciar y contiene una lista blanca programada para excluir potencialmente países y dispositivos específicos de la infección. Sin embargo, nunca hemos visto que se use la lista blanca de países, y solo unos pocos dispositivos se incluyeron en la lista blanca en las primeras versiones. Actualmente, ningún país o dispositivo está en la lista blanca. La URL completa de Cosiloon está codificada en el APK”.
El gotero es parte del firmware del sistema y no se quita fácilmente.
Para resumir:
El cuentagotas puede instalar paquetes de aplicaciones definidos por el manifiesto descargado a través de una conexión HTTP sin cifrar sin el consentimiento o el conocimiento del usuario.
El cuentagotas está preinstalado en algún lugar de la cadena de suministro, por el fabricante, el OEM o el transportista.
El usuario no puede quitar el cuentagotas, porque es una aplicación del sistema, parte del firmware del dispositivo.
Avast puede detectar y eliminar las cargas útiles y recomienda seguir estas instrucciones para desactivar el cuentagotas. Si el cuentagotas detecta software antivirus en su teléfono, en realidad detendrá las notificaciones, pero seguirá recomendando descargas mientras navega en su navegador predeterminado, una puerta de entrada para capturar más (y peor) malware. Notas de Gadget que este vector es similar al Vulnerabilidad “Superfish” de Lenovo que envió miles de computadoras con malware incorporado.
Source link