Scoperto il malware Cosiloon preinstallato su 141 modelli Android

Sebbene sia normale che avvenga un’infezione da malware su un dispositivo, di solito è raro trovare un dispositivo con malware già installato.

Qual è il malware?
I ricercatori di Avast Threat Labs il 24 maggio 2018 hanno pubblicato un rapporto in cui affermano che il malware denominato Cosiloon è preinstallato su molti dispositivi Android: come portatori del malware sono stati identificati 141 diversi modelli, solitamente a basso costo e non certificati da Google.
Il malware contiene app nascoste infette, chiamate dropper (è un componente del malware creato per installare un malware, un virus, o aprire una backdoor su un sistema), scaricano un file con estensione .manifest che comunica ad altre app quali file scaricare. Alla fine, i droppers installano i payload da un indirizzo URL.
Il malware scaricato può fare alcune cose fastidiose a un cellulare. Gli utenti vedranno annunci popup quando stanno giocando o cercando siti web. L’installazione di un qualsiasi dei giochi dal popup esaspera il problema. Il malware è difficile da rimuovere a causa della sua posizione e perché utilizza un forte offuscamento.

Qual è la portata del malware?
Avast ha scoperto che 18.000 dei suoi utenti sono stati colpiti dalla versione più recente del malware, tra cui migliaia di utenti nel mese scorso. Gli utenti si trovano in più di 100 paesi, quelli con il maggior numero di casi si trovano in Italia, Germania, Russia, Regno Unito e Francia.
Avast quando ha svolto la ricerca, ha riscontrato che i droppers associati all’app sono sul mercato dal 2015. Inoltre, le date sui file all’interno del malware risalgono al 2013. Ciò suggerisce che il malware probabilmente tormenta gli utenti Android da un po’ di tempo. Sta emergendo solo ora, perché sta accadendo a un maggior numero di utenti.

Soluzioni per il malware
Avast in merito al problema dopo aver interpellato Google, ha scritto:
«Google ha adottato misure per mitigare le dannose funzionalità di molte varianti di app su diversi modelli di dispositivi. Google Play Protect è stato aggiornato per garantire in futuro la copertura di queste app.
Google per risolvere il problema ha anche preso contatto con gli sviluppatori del firmware. Fino a quando questi problemi non saranno risolti, gli utenti potrebbero dover intervenire in prima persona. La buona notizia è che il malware è obsoleto, la maggior parte delle moderne applicazioni antivirus mobili dovrebbe essere in grado di rilevarlo e fermarlo.
Il problema riguarda principalmente i cellulari a basso costo su cui sono installati i servizi di Google Play. Varia anche in base alla regione. Gli utenti che non hanno questi cellulari non devono preoccuparsi.
L’utente per prevenire infezione da malware dovrebbe acquistare solo un dispositivo certificato da Google».

Avastmalware Cosiloon preinstallato su modelli Android