Malware encontrado no firmware de 141 dispositivos Android de baixo custo

92

Dois anos depois de ser deposto, uma operação criminosa que vem inserindo malware no firmware de dispositivos Android de baixo custo ainda está em funcionamento, e até expandiu seu alcance.

O primeiro grupo surgiu à tona após um relatório em dezembro de 2016 quando o fornecedor de antivírus russo Dr.Web revelou que um misterioso ator havia encontrado uma maneira de penetrar na cadeia de suprimentos de várias operadoras de telefonia móvel, infectando telefones com malware. Na época, os especialistas disseram que encontraram malware no firmware de pelo menos 26 modelos de smartphones e tablets Android de baixo custo. Uma vez destituído, Dr.Web esperava que os bandidos fizessem as malas e passassem para outra operação.

Crooks expande as operações e infecta mais dispositivos

Mas em um relatório divulgado ontem, a empresa de segurança cibernética Avast diz que o grupo nunca cessou as operações e continuou a envenenar o firmware de mais e mais dispositivos, aumentando sua operação muitas vezes

Avast publicou uma lista de mais de 140 smartphones e tablets Android em que diz ter encontrado o malware do grupo – O que eles chamaram de Cosiloon.

Comparando os relatórios Dr.Web e Avast, o malware não parece ter recebido nenhuma atualização e ainda opera da mesma maneira.

Ele é executado a partir da pasta “/ system” com total direitos de root, e sua principal função é conectar-se a um servidor remoto, baixar um arquivo XML e instalar um ou mais aplicativos mencionados neste documento.

Como o malware é enviado como um componente de firmware, ele pode facilmente capturar qualquer aplicativo bandidos dizer-lhe e instalá-lo com inteligência Qualquer interação do usuário

Em quase todos os casos, os aplicativos que o malware instala são usados ​​exclusivamente para exibir anúncios em cima de outros aplicativos ou da própria interface do Android. Muitos usuários do Android têm percebido os anúncios. Abaixo estão alguns exemplos dos tipos de pop-ups proprietários de dispositivos afetados costumam ver abaixo:

 anúncios de adware Cosiloon

Crooks estão obviamente interessados ​​em gerar receita apenas com anúncios, e nenhum outro comportamento obscuro foi visto.

As únicas vezes em que o malware não faz o download de aplicativos adicionais são quando o idioma do dispositivo é definido para chinês, quando o endereço IP público do dispositivo também é de um intervalo de IP chinês e quando o número de aplicativos instalados localmente está abaixo de três. (indicando um ambiente de teste / varredura)

Embora pareça que o grupo possa estar operando fora da China porque evita infectar usuários chineses – daí evitar a atenção da lei -, o Avast ainda não foi capaz de determinar completamente esse fato. Ponto de infecção permanece desconhecido mesmo depois de dois anos

A empresa de segurança cibernética diz que teve um tempo difícil rastrear quando o malware é inserido no firmware desses dispositivos. Há muitas operadoras de celular e fornecedores de smartphones afetados para culpar um deles.

Dispositivos infectados foram encontrados em mais de 90 países, e o único componente comum entre eles é que todos eles usam um chipset da Mediatek.

Isso significa que o grupo é oportunista e infecta dispositivos aleatoriamente, pois encontra uma janela durante o qual ele pode envenenar seu firmware.

Por enquanto, o Avast diz que conseguiu derrubar o servidor de comando e controle do grupo por um pequeno período de tempo, mas porque o registrador de domínio não interveio para invalidar o domínio do grupo. nome, o grupo simplesmente mudou para outro provedor de hospedagem.

IOCs e um detalhamento do processo de infecção de várias versões do Cosiloon estão disponíveis no relatório do Avast .

Fonte:BleepingComputer

Autor: Catalin Cimpanu