Scoperto un nuovo adware già pre-installato su numerosi dispositivi Android.


In questi giorni alcuni ricercatori di sicurezza di Avast hanno fatto sapere di aver scoperto un nuovo malware che colpisce i dispositivi Android mostrando inserzioni pubblicitarie durante la navigazione Internet con il browser predefinito e non solo. Tuttavia anche se al momento non sembrano esserci conseguenze più gravi, la software house ha spiegato di aver trovato questo adware già installato su numerosi smartphone e disposirivi di fascia bassa, quasi tutti non certificati da Google. In pratica, secondo le informazioni diffuse, il virus in questione è una versione aggiornata di Cosiloon, un altro famoso malware attivo da almeno 3 anni e difficile da rimuovere, in quanto nascosto all'interno del firmware. Inoltre, stando alla ricerca di Avast, la versione più recente dell'adware è presente su oltre 18.000 dispositivi in possesso di utenti che risiedono in oltre 10 Paesi, (tra cui Italia, Russia, Germania, Regno Unito e Stati Uniti). Per di più la parte di tale virus installata nella partizione "/system" è il cosiddetto "dropper" che scarica un manifesto XML contenente l'URL del payload, vale a dire il file APK colpevole di visualizzare i suddetti banner pubblicitari, relativi a finti giochi. Ma non è finita qui; esiste anche una seconda versione del dropper nascosta nel file SistemUI.apk, (ossia un componente del sistema operativo), che può eseguire azioni più pericolose, come, ad esempio, l'invio del numero di telefono, del codice IMEI e dell'indirizzo MAC a server remoti: fortunatamente, però, risulta essere meno diffuso. Ad ogni modo Avast ha ipotizzato che questi 2 dropper siano stati installati da qualcuno, (come, per esempio, il produttore dello smartphone, l'OEM oppure il gestore telefonico), durante la cosiddetta catena di distribuzione, ed ha pubblicato l'elenco dei dispositivi interessati, la maggioranza dei quali dotati di processori MediaTek e realizzati da Archos, Mediacom, ZTE ed altri produttori meno noti. Comunque sia gli antivirus sono in grado di rilevare ed eliminare solo il payload, considerato che, come già spiegato, il dropper si nasconde nel firmware: quest'ultimo tuttavia deve essere prima disattivato manualmente nell'elenco delle applicazioni visibile nelle impostazioni; i nomi più comuni sono CrashService, ImeMess e Terminal e solitamente sono accompagnati da una generica icona Android.

Di seguito alcuni screenshot:
https://i.imgur.com/5gqyurE.png
https://i.imgur.com/Wd0KRrf.png
https://i.imgur.com/67DFAeb.png
https://i.imgur.com/wKNI1X6.png

Commenti