InfoTecnología

Distribuyen miles de dispositivos Android con Malware preinstalado

(Por Sebastian Gaviglio) El Laboratorio de Amenazas de Avast analiza el adware llamado “Cosiloon” para dispositivos móviles que ha encontrado preinstalado en miles de teléfonos Android en todo el mundo.

Image description

El Laboratorio de Amenazas de Avast ha encontrado un adware preinstalado en cientos de diferentes modelos y versiones de dispositivos Android de fabricantes como ZTE, Archos y myPhone. La mayoría de estos dispositivos no están certificados por Google. El adware se llama “Cosiloon“ y crea una capa superficial para mostrar publicidad sobre las páginas web en el navegador. Miles de usuarios se han visto afectados y solo el mes pasado el Laboratorio de Amenazas de Avast ha detectado la última versión de este adware en cerca de 18.000 dispositivos que pertenecían a clientes de Avast ubicados en más de 100 países, incluidos Rusia, Italia, Alemania, Reino Unido, así como algunos usuarios en España, Argentina, México, Brasil y Estados Unidos.

Una antigua versión del adware fue analizada en su día por Dr.Weby, y ha estado activo durante al menos tres años: su erradicación es compleja, dado que se encuentra instalado en el nivel del soporte lógico inalterable (firmware) y está eficazmente oculto. El Laboratorio de Amenazas de Avast está en contacto con Google, que está al tanto del problema y ha tomado medidas para mitigar el potencial malicioso de las múltiples versiones de esta aplicación en varios modelos de dispositivos, empleando técnicas desarrolladas internamente.

Google Play Protect ha sido actualizado para garantizar que exista una cobertura para estas aplicaciones maliciosas en el futuro. Sin embargo, como las aplicaciones vienen preinstaladas en firmware, el problema es difícil de solucionar. Por ello, Google ha contactado a desarrolladores de firmware para transmitirles esta preocupación y alentarlos a tomar medidas para afrontar el problema.

Identificando a Cosiloon

Los últimos años, el Laboratorio de Amenazas de Avast ha observado como aparecían en su base de datos, cada cierto tiempo, extrañas muestras adware en dispositivos Android. Las muestras aparentan ser similares a la de cualquier otro adware, con la excepción de que este adware pareciera no tener un punto de infección, como si no existiera un vector de entrada. Utilizan muchos nombres de paquete diferentes, estos son algunos de los más comunes:

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

Los dispositivos vienen con una aplicación maliciosa preinstalada, un downloader. Este downloader se conecta a un servidor controlado por los atacantes para recibir instrucciones e instalar el payload, el adware que mostrará publicidad a los usuarios de dispositivos afectados. Algunas aplicaciones antivirus son capaces de detectar el adware, pero el downloader los vuelve a instalar de inmediato, y este downloader no puede ser neutralizado por los antivirus.
Avast ha intentado deshabilitar el servidor de comando y control (C&C server) de Cosiloon enviando peticiones a las entidades de registro de dominios y a los proveedores del servidor. El primer proveedor, Zenlayer, respondió rápidamente y desconectó el servidor, pero fue reactivado tiempo después usando un proveedor diferente. Las entidades registradoras de dominio no han respondido aún a la solicitud de Avast, por lo cual el servidor C&C todavía está en funcionamiento.

“Las apps maliciosas pueden, desafortunadamente, ser instaladas en el nivel del firmware antes de que los dispositivos sean distribuidos a los usuarios y probablemente sin el conocimiento del fabricante“, señala Nikolaos Chrysaidos, líder de Inteligencia y Seguridad ante Amenazas Móviles de Avast. “Si una aplicación es instalada en el nivel del firmware es muy difícil de remover, por lo cual una colaboración entre los diferentes actores de la industria, vendedores de programas de seguridad, Google y fabricantes de equipos originales (OEMs) es imperativa. Juntos, podemos asegurar un ecosistema de dispositivos móviles más seguro para los usuarios de Android“.

AvastMobile Security puede detectar y desinstalar los payloads, pero no cuenta con los permisos requeridos para deshabilitar el downloader, por lo cual a Google Play Protectle toca el trabajo más pesado. Si un dispositivo está infectado debe automáticamente desactivarse el downloader y el payload. Avast sabe que este procedimiento es efectivo porque el Laboratorio de Amenazas de Avast ha observado una caída en la cantidad de dispositivos infectados por nuevas versiones de payload después de que Play Protect empezó a detectar Cosiloon.

¿Cómo desactivar Cosiloon?

Los usuarios pueden encontrar el downloader en las preferencias (bajo el nombre (“CrashService“, “ImeMess” o “Terminal”, con el icono genérico de Android), y puede hacer clic en el botón “desactivar“ de la página de la aplicación, si está disponible (según la versión Android). Esto desactivará el downloader y una vez que Avast elimine el payload, este no volverá a aparecer.

Tu opinión enriquece este artículo:

Te puede interesar:

Plus

Del mejor alfajor del país al chocolate Dubái: Ególatra se suma a la tendencia y lanza su propia versión (made in Córdoba)

(Por Rocío Vexenat) La pastelería cordobesa Ególatra vuelve a sorprender con una propuesta innovadora y artesanal: acaba de lanzar su propia versión del popular chocolate Dubái, una tableta que es tendencia y que promete conquistar a los amantes de lo crujiente y lo dulce con una receta única adaptada al paladar argentino. ¿Cuánto cuesta y dónde la podés conseguir? En la nota.

Enfoque

Geriátricos y atención domiciliaria: un derecho que deben cubrir las obras sociales y prepagas (conocé los requisitos)

(Por Diana Lorenzatti) En Argentina, tanto las obras sociales como las empresas de medicina prepaga tienen la obligación legal de cubrir la internación en residencias geriátricas o la asistencia domiciliaria de los adultos mayores afiliados. ¿En qué circunstancias se debe reclamar esta prestación? Para profundizar en el tema, dialogamos con la abogada especializada en derechos de salud y discapacidad, Dra. Suyay Pérez Montenegro.

InfoNegocios Miami

¿Qué son los agentes de IA? ¿Por qué son tan importantes en la eficiencia de la empresa hoy?

Por Alberto Schuster ( Una creación en colaboaricon con Beyond) En el marco de la transformación digital impulsada por la Inteligencia Artificial (IA), los agentes de IA se han consolidado como una de las aplicaciones más versátiles y valiosas para mejorar el rendimientooperativodelasempresas.Adiferencia de los sistemas tradicionales de automatización, estos agentes actúan de manera autónoma, adaptativa y colaborativa, ejecutando tareas específicas y resolviendo problemas complejos en múltiples áreas funcionales.

Contenido estratégico. Nota (Paper) 3 minutos de lectura

Las marcas dicen...

Juan Valdez conquista Dubai Mall: claves de su expansión global y estrategias para triunfar en mercados élite

(Por Maximiliano Mauvecin junto a Marcelo Maurizio) Café Colombiano en el Epicentro del Lujo. En un mundo donde el retail compite por captar la atención de consumidores exigentes, Juan Valdez acaba de marcar un hito: la apertura de su tercera tienda en Dubai Mall, el centro comercial más visitado del planeta (100+ millones de visitantes anuales). La importancia del crossing marketing, la phygitialidad y la experiencia temática conceptual.

(4 minutos de lectura)

InfoEnergía

Bentia Energy invertirá US$ 150 millones para revitalizar áreas maduras y explorar Vaca Muerta

La petrolera Bentia Energy, encabezada por el exministro de Energía Javier Iguacel, presentó un ambicioso plan a diez años con una inversión proyectada de 150 millones de dólares para impulsar la producción de hidrocarburos en áreas maduras de Neuquén y retomar la exploración en Vaca Muerta. La iniciativa abarca siete bloques adquiridos a YPF como parte del Proyecto Andes y busca implementar una nueva forma de operar con foco en eficiencia e innovación.