Tanie smartfony z Androidem infekowane malware już podczas produkcji
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Aktualizacja Otrzymaliśmy informację of firmy mPTech, iż problem nie dotyczy smartfonów myPhone. Avast zamieścił wcześniej taką informację przez pomyłkę, a błąd został już usunięty.
Avast ostrzega przed najtańszymi urządzeniami z Androidem, bo jak wynika z przeprowadzonych badań, takie sprzęty często trafiają do użytkowników z fabrycznie zainstalowanym szkodliwym oprogramowaniem. Problem ma dotyczyć przede wszystkim urządzeń niecertyfikowanych przez Google, łącznie kilkuset modeli smartfonów i tabletów, jak wspomina Techcrunch, między innymi takich marek jak ZTE, Archos czy myPhone, z których część była lub jest dostępna także w polskich sklepach.
Uwaga zwracana jest przede wszystkim na adware o nazwie Cosiloon, który pojawia się na urządzeniach co najmniej od trzech lat. Avast Threat Labs informuje, że to reklamowe oprogramowanie w najnowszej wersji zainstalowane jest nawet na 18 tysiącach sprawdzonych przez firmę urządzeń. Problem dotyczy ponad 100 krajów, w tym Rosji, Niemiec, Anglii i również Polski – tu także sprzedawane były niektóre z problematycznych urządzeń.
Jak informuje Avast, problem adware został już zgłoszony Gogole, gdzie trwa w tej sprawie dalsze śledztwo. Sprawa nie jest jednak tak prosta, jak można by się było spodziewać. Szkodliwe oprogramowanie występuje na urządzeniach z Androidem pod wieloma nazwami i często trudno jest je odnaleźć, szczególnie gdy zintegrowane zostanie bezpośrednio z firmware.
Firma opisuje jeden z ciekawszych przypadków do dziś wykrywanego szkodliwego oprogramowania, które bazuje na wykorzystaniu dwóch elementów zwanych dropper i payload – odpowiednio zakraplaczem i ładunkiem, zawartością. Pierwszy taki przypadek odnotowano jeszcze w 2015 roku i co ciekawe, właśnie w Polsce na jednym z budżetowych tabletów.
Metoda działania jest dość prosta. Dropper może być aplikacją potrafiącą bez wiedzy użytkownika instalować inne pakiety (owe ładunki) przez szyfrowane połączenie HTTP i jest częścią systemu, przez co samodzielne usunięcie jest niemożliwe. Co więcej droppery mają być instalowane jeszcze na etapie produkcji lub przez operatora. Avast jest w tej sytuacji bezradny – samodzielnie wykrywać i usuwać może tylko wspomnianą zawartość, ale nie droppery – narzędzia instalujące ładunki.
Ładunki przybierają natomiast różne formy, ostatnio na przykład aplikacji Goolge Contacts (to nie literówka) czy Google++. Zmiany następują często, by nie budzić podejrzeń i nie dawać użytkownikom szans na szybkie wychwycenie problemu. Avast zwraca uwagę, że najbardziej niepokojące w całej sytuacji jest to, iż problem był już kilka lat wcześniej opisywany przez Dr.Web i od tamtego czasu niewiele w kwestii tej stosowanej do dziś metody się zmieniło.
