Специалисты компании Avast сообщили, что им удалось обнаружить несколько сотен моделей устройств со встроенным в прошивку вредоносным программным обеспечением Cosiloon. Среди заражённых моделей – устройства ZTE, Oysters, Archos, Prestigio, Telefunken, Irbis, Supra, Blaupunkt, Digma, Auchan, Explay, Goclever, DEXP, Haier и многих других брендов, а также операторский планшет Билайн Таб Фаст. Список из 141 наиболее распространённого устройства, «из коробки» заражённого Cosiloon, доступен по этой ссылке. Любопытно, что в списке есть 17 устройств, чьё ПО получило сертификацию Google – это вызывает вопросы к качеству тестирования софта поисковым гигантом.
Как рассказывает Avast, приложение состоит из двух частей, которые специалисты обозначили как «пипетка» и «полезная нагрузка». «Пипетка» является частью прошивки девайса и устанавливается производителем, пользователь не может её удалить без получения root-прав. Существует модификация «пипетки», встраиваемая непосредственно в apk стокового лаунчера – её очень сложно удалить даже с root-правами. Роль «пипетки» сводится к скачиванию вот этого XML-файла, обнаружению в нём ссылки на apk-файл «полезной нагрузки», его скачиванию и установке. Кроме того, «пипетка» обнаруживает, если пользователь или антивирус удаляет «полезную нагрузку» (они никак не защищены от этого) и устанавливает их заново.
«Полезная нагрузка» – это уже типичный adware, предлагающий пользователю скачивать приложения при входе в Google Play, браузер по умолчанию или просто при листании меню. Обычно приложение «полезной нагрузки» не видно в списке приложений, однако одна из версий появлялась там под названием Goolge Contacts. В приложение заложено несколько исключений: оно не показывает рекламу, если пользователь выставил китайский язык, если у него установлено меньше трёх приложений, есть также белые списки устройств и стран (пустые). Возможно, именно непоказ рекламы на смартфонах с низким числом установленных приложений позволил производителям, предустанавливающим Cosiloon, спокойно получать сертификацию Google.
Специалисты Avast отмечают, что Cosiloon – вовсе не новый софт. Устройства, заражённые им, работают на Android версий 4.2-6.0, а разработка вируса началась не менее пяти лет назад. Более того, Cosiloon обнаружили ещё два года назад – правда, тогда не Avast, а Dr.Web. Разоблачение никак не помешало разработчикам вируса: сайт, с которого скачивается XML-файл с адресом «полезной нагрузки», существует до сих пор. При этом именно его блокировка станет для Cosiloon фатальной: у разработчиков нет возможности изменить ссылку на XML-файл в «пипетке». Avast добилась, чтобы Cosiloon лишили хостинга, но они быстро перенесли сайт на другой хостинг, оставив адрес сайта прежним. На запрос о разделегировании домена Avast не получила ответа.
