Allein in vergangenen Monaten hat der IT-Sicherheitsanbieter Avast die aktuelle Version dieser Adware auf rund 18.000 Geräten von Nutzern aus über 100 Ländern erkannt – die Top 10 führt Russland an, gefolgt von Italien, Deutschland, Großbritannien, Ukraine, Portugal, Venezuela, Griechenland, Frankreich und Rumänien. Genannt werden vor allem Android-Geräte von ZTE, Archos und myPhone – also Hersteller, die eher günstige Smartphones verkaufen.
Ganz neu ist diese seit circa drei Jahren bekannte Adware nicht. Besonderheit dieses Schädlings: Er ist schwer zu entfernen, da er immer wieder über einen sogenannten Dropper geladen wird, also eine App, die darauf programmiert ist, im Hintergrund Schadprogramme auf das Smartphone herunterzuladen. Dieser Dropper ist auf der Firmware-Ebene des Smartphones fest installiert und verwendet starke Verschleierungsmechanismen.
Avast stehe in Kontakt mit Google, dessen Sicherheitsexperten bereits Schritte in die Wege geleitet hätten, um die schädlichen Auswirkungen auf verschiedenen Gerätemodellen zu bekämpfen. Google habe dafür intern entwickelte Technologien im Einsatz. Zusätzlich sei Google Play Protect aktualisiert, um sicherzustellen, dass diese Apps in Zukunft erkannt werden, berichtet Avast. Doch nachdem die Dropper mit der Firmware vorinstalliert sind, sei es schwierig, das Problem zu lösen, so die Sicherheitsfirma.
Avast hat in den letzten Jahren immer wieder sehr sonderbare Android-Schädlinge entdeckt. Die vorliegenden Exemplare wie Cosiloon sind eigentlich wie jede andere Adware. Doch dieses Mal ist es unklar, wie die Adware auf die Geräte gelangt ist. Der Kontrollserver wurde laufend mit neuem Payload aktualisiert. Auch die Hersteller haben weiterhin neue Geräte mit dem vorinstallierten Dropper verkauft. Einige Antiviren-Apps auf dem Handy erkennen die Adware natürlich, aber der Dropper installiert diese nach der Entfernung gleich wieder.
Der Dropper selbst lässt sich nicht entfernen – und damit hat das Handy eine dauerhafte Schwachstelle, die es unbekannten Dritten ermöglicht, unerwünschte Software zu installieren. Bislang hat Avast lediglich entdeckt, dass der Dropper Adware nachlädt. Aber es könnte künftig auch Spyware oder Erpressersoftware sein, schreibt Avast. Um es klar zu sagen: Hier schlummert eine tickende Zeitbombe in infizierten Android-Smartphones.
Avast hat versucht, den C&C Server mit Cosiloon deaktivieren zu lassen und entsprechende Anfragen an die Domain-Registrierungsstelle und den Service-Provider geschickt. Der erste Provider, ZenLayser, hat zeitnah reagiert und den Server abgeschaltet, berichtet Avast. Aber er wurde einige Zeit später bei einem anderen Provider wieder aktiviert. Um ihn endgültig zu stoppen, muss die cosiloon.com-Domain geblockt werden, über die der Payload nachgeladen wird. Dies ist aber trotz der Kontaktaufnahme von Avast mit der Domain-Registrierungsstelle bislang noch nicht passiert.
Avast Mobile Security erkennt den Payload und kann diesen löschen, aber es kann aufgrund fehlender Zugriffsrechte nicht den Dropper selbst unschädlich machen – diese Aufgabe muss Google Play Protect übernehmen, sagt Avast. Seit Google Play Protect den Schädling Cosiloon erkennt, ist die Zahl der Geräte mit neuem Payload laut Avast Threat Lab bereits zurückgegangen.
Bildquelle: ZTE
