События

В прошивке более 140 моделей бюджетных Android-устройств обнаружено вредоносное ПО

В декабре 2016 года производитель антивирусов компания Dr.Web сообщила о злоумышленниках, которые нашли способ осуществить атаку на цепочку поставок нескольких производителей мобильных устройств, заразив телефоны вредоносными программами. Эксперты обнаружили вредоносное ПО в прошивке по меньшей мере 26 недорогих моделей смартфонов и планшетов на базе Android.

Как сообщила компания Avast в своем отчете, спустя два года группа ответственных за атаки злоумышленников не только не прекратила работу, но и расширила масштабы деятельности.

Avast опубликовала список из более чем 140 моделей Android-смартфонов и планшетов, в прошивке которых было обнаружено вредоносное ПО Cosiloon, созданное группировкой. При этом за два года функциональность вредоноса не претерпела изменений. Программа запускается из папки "/system" с правами суперпользователя, а ее основной задачей является подключение к удаленному серверу, загрузка XML-файла и установка одного или нескольких приложений, указанных в данном файле.

Поскольку вредоносное ПО поставляется в качестве компонента прошивки, оно может без взаимодействия с пользователем установить любое приложение, нужное престпникам. Практически во всех случаях приложения, устанавливаемые Cosiloon, используются исключительно для показа рекламы поверх других приложений или самого интерфейса Android. Очевидно, что злоумышленники заинтересованы в получении дохода только с помощью рекламы.

Вредоносное ПО не загружает дополнительные приложения в случаях, когда на устройстве установлен китайский язык; публичный IP-адрес устройства находится в китайском диапазоне IP; число локально установленных приложений ниже трех.

Зараженные устройства были обнаружены в более чем 90 странах, единственным общим аспектом устройств является использование чипсетов Mediatek.

Экспертам Avast удалось на краткое время отключить С&C-сервер группировки, однако в связи с тем, что регистратор доменных имен не аннулировал используемый группировкой домен, злоумышленники просто воспользовались услугами другого хостинг-провайдера.

Источник

Автор: Сергей Куприянов
25.05.2018 (12:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.