Distribuyen miles de dispositivos Android con Malware preinstalado

(Por Sebastian Gaviglio) El Laboratorio de Amenazas de Avast analiza el adware llamado “Cosiloon” para dispositivos móviles que ha encontrado preinstalado en miles de teléfonos Android en todo el mundo.

Image description

El Laboratorio de Amenazas de Avast ha encontrado un adware preinstalado en cientos de diferentes modelos y versiones de dispositivos Android de fabricantes como ZTE, Archos y myPhone. La mayoría de estos dispositivos no están certificados por Google. El adware se llama “Cosiloon“ y crea una capa superficial para mostrar publicidad sobre las páginas web en el navegador. Miles de usuarios se han visto afectados y solo el mes pasado el Laboratorio de Amenazas de Avast ha detectado la última versión de este adware en cerca de 18.000 dispositivos que pertenecían a clientes de Avast ubicados en más de 100 países, incluidos Rusia, Italia, Alemania, Reino Unido, así como algunos usuarios en España, Argentina, México, Brasil y Estados Unidos.

Una antigua versión del adware fue analizada en su día por Dr.Weby, y ha estado activo durante al menos tres años: su erradicación es compleja, dado que se encuentra instalado en el nivel del soporte lógico inalterable (firmware) y está eficazmente oculto. El Laboratorio de Amenazas de Avast está en contacto con Google, que está al tanto del problema y ha tomado medidas para mitigar el potencial malicioso de las múltiples versiones de esta aplicación en varios modelos de dispositivos, empleando técnicas desarrolladas internamente.

Google Play Protect ha sido actualizado para garantizar que exista una cobertura para estas aplicaciones maliciosas en el futuro. Sin embargo, como las aplicaciones vienen preinstaladas en firmware, el problema es difícil de solucionar. Por ello, Google ha contactado a desarrolladores de firmware para transmitirles esta preocupación y alentarlos a tomar medidas para afrontar el problema.

Identificando a Cosiloon

Los últimos años, el Laboratorio de Amenazas de Avast ha observado como aparecían en su base de datos, cada cierto tiempo, extrañas muestras adware en dispositivos Android. Las muestras aparentan ser similares a la de cualquier otro adware, con la excepción de que este adware pareciera no tener un punto de infección, como si no existiera un vector de entrada. Utilizan muchos nombres de paquete diferentes, estos son algunos de los más comunes:

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

Los dispositivos vienen con una aplicación maliciosa preinstalada, un downloader. Este downloader se conecta a un servidor controlado por los atacantes para recibir instrucciones e instalar el payload, el adware que mostrará publicidad a los usuarios de dispositivos afectados. Algunas aplicaciones antivirus son capaces de detectar el adware, pero el downloader los vuelve a instalar de inmediato, y este downloader no puede ser neutralizado por los antivirus.
Avast ha intentado deshabilitar el servidor de comando y control (C&C server) de Cosiloon enviando peticiones a las entidades de registro de dominios y a los proveedores del servidor. El primer proveedor, Zenlayer, respondió rápidamente y desconectó el servidor, pero fue reactivado tiempo después usando un proveedor diferente. Las entidades registradoras de dominio no han respondido aún a la solicitud de Avast, por lo cual el servidor C&C todavía está en funcionamiento.

“Las apps maliciosas pueden, desafortunadamente, ser instaladas en el nivel del firmware antes de que los dispositivos sean distribuidos a los usuarios y probablemente sin el conocimiento del fabricante“, señala Nikolaos Chrysaidos, líder de Inteligencia y Seguridad ante Amenazas Móviles de Avast. “Si una aplicación es instalada en el nivel del firmware es muy difícil de remover, por lo cual una colaboración entre los diferentes actores de la industria, vendedores de programas de seguridad, Google y fabricantes de equipos originales (OEMs) es imperativa. Juntos, podemos asegurar un ecosistema de dispositivos móviles más seguro para los usuarios de Android“.

AvastMobile Security puede detectar y desinstalar los payloads, pero no cuenta con los permisos requeridos para deshabilitar el downloader, por lo cual a Google Play Protectle toca el trabajo más pesado. Si un dispositivo está infectado debe automáticamente desactivarse el downloader y el payload. Avast sabe que este procedimiento es efectivo porque el Laboratorio de Amenazas de Avast ha observado una caída en la cantidad de dispositivos infectados por nuevas versiones de payload después de que Play Protect empezó a detectar Cosiloon.

¿Cómo desactivar Cosiloon?

Los usuarios pueden encontrar el downloader en las preferencias (bajo el nombre (“CrashService“, “ImeMess” o “Terminal”, con el icono genérico de Android), y puede hacer clic en el botón “desactivar“ de la página de la aplicación, si está disponible (según la versión Android). Esto desactivará el downloader y una vez que Avast elimine el payload, este no volverá a aparecer.

Tu opinión enriquece este artículo:

Córdoba - Paraguay sin escalas: qué hacer un fin de semana en Asunción (de la mano de Paranair, en una hora y 20 minutos)

(Por Diana Lorenzatti) La nueva ruta Córdoba-Asunción de la aerolínea Paranair conecta ambas ciudades en poco más de una hora y permite tener otra opción a la hora de elegir un destino turístico. Además, por el fuerte crecimiento comercial y de inversión que está teniendo el país vecino muchos extranjeros deciden visitar su capital para echar el ojo y encontrar un nuevo negocio. Te contamos todo en esta nota. 

Ahora podés invertir en Docta desde 1.100 dólares (y obtener una rentabilidad del 20% anual)

(Por Soledad Huespe) Benjamín Ferro Terán (ex Proaco) es uno de los cerebros detrás de "Duplares", un emprendimiento de 36 unidades de 2 y 3 dormitorios y un zócalo de locales comerciales. Está en el corazón de Docta, el proyecto ubicado sobre la Ruta 20. Lo novedoso de Duplares es su comercialización (ideal para pequeños y medianos inversores), ya que a través de una plataforma de crowdfunding se puede entrar al negocio con un ticket de 1.100 dólares y obtener una rentabilidad de hasta 20% anual (también en dólares). 

¡Qué Ofertón! Se lanzó el programa con el que la Provincia impulsa el comercio electrónico (inscripciones, descuentos y ofertas)

Este martes se lanzo el evento destinado a comercios y consumidores, una plataforma digital diseñada para modernizar y actualizar la venta minorista frente a los desafíos del mercado y las nuevas tendencias. El fin del mismo es promover productos y servicios para impulsar el consumo, brindando ofertas y descuentos. Se realizará los días 29, 30 y 31 de Julio. Qué categorías están incluidas y hasta cuándo hay tiempo de inscribirse como comerciante.

Qué hace la Fundación Mundial de la Felicidad (y qué es el Ecosistema de Bienestar de Córdoba)

(Por Rocío Vexenat) ¿Sabías que cuando una persona se siente feliz es un 88% más productiva en su trabajo? Bueno, de eso se encargan estos entes, y acá te cuento la posta: la Fundación Mundial de la Felicidad es una organización internacional sin fines de lucro que promueve la libertad, la consciencia y sobre todo, la felicidad. ¿Qué hace este ecosistema? Busca transformar el bienestar corporativo para potenciar la competitividad regional aplicándolo a los emprendedores y empresas de Córdoba. Cómo sumarte.

Parma Sándwiches, una marca que empieza a sonar fuerte: abrió el local N° 12 y apura un centro de producción de 200 m2

(Por Julieta Romanazzi) Fundada hace más de dos décadas por Matías Fuenzalida, la marca pasó de ser una pequeña fábrica de sándwiches a tener 12 locales distribuidos por toda la ciudad. Desde sus inicios en Barrio Alberdi, Parma Sándwiches se consolidó como un referente en el rubro en la ciudad de Córdoba. La semana pasada abrió la última sucursal sobre Recta Martinoli (frente al colegio La Salle). Lo que sigue será un nuevo centro de producción de 200 m2, desde  donde proveerá a todas sus bocas.

10 cosas que hay que saber sobre el dengue en las empresas cordobesas (cómo lo viven hoy: ausentismo, contagios, licencias y más)

(Por Soledad Huespe) Los números están al rojo vivo y las empresas no son ajenas a esta realidad. El infectólogo Hugo Pizzi viene advirtiendo que “todavía no hemos llegado a la cúspide de la curva epidemiológica y estamos totalmente convencidos de que tomará gran parte de abril y nos dará muchos disgustos”. Como muestra sirve un botón: solamente ayer, en una sola empresa cordobesa, se reportaron 30 casos.