Avast ha scoperto un nuovo malware Android che mostra inserzioni pubblicitarie durante la navigazione Internet con il browser predefinito. Al momento non sembrano esserci conseguenze più gravi, ma la software house ha trovato l’adware già installato su numerosi smartphone di fascia bassa, quasi tutti non certificati da Google.
Il malware in questione è una versione aggiornata di Cosiloon, attivo da almeno tre anni e difficile da rimuovere, in quanto nascosto all’interno del firmware. In base alla ricerca di Avast, la versione più recente è presente su oltre 18.000 dispositivi in possesso di utenti che risiedono in oltre 10 paesi, tra cui Italia, Russia, Germania, Regno Unito e Stati Uniti. La parte dell’adware installata nella partizione /system
è il dropper che scarica un manifesto XML contenente la URL del payload, ovvero il file APK che visualizza i banner pubblicitari relativi a finti giochi.
Esiste anche una seconda versione del dropper nascosta nel file SistemUI.apk, un componente del sistema operativo. Fortunatamente è meno diffuso del precedente, dato che può eseguire azioni più pericolose, come l’invio a server remoti del numero di telefono, codice IMEI e indirizzo MAC. Avast sospetta che i due dropper siano stati installati da qualcuno (produttore, OEM o gestore telefonico) durante la supply chain.
Avast ha pubblicato l’elenco dei dispositivi interessati, la maggioranza dei quali con processore MediaTek, realizzati da Archos, Mediacom, ZTE e altri produttori meno noti. Gli antivirus possono rilevare ed eliminare solo il payload, dato che il dropper è nascosto nel firmware. Quest’ultimo deve essere disattivato manualmente nell’elenco delle app visibile nelle impostazioni. I nomi più comuni sono CrashService, ImeMess e Terminal.