به تازگی آنتی ویروس اوست (Avast) وجود برخی نرم افزارهای مخرب در گوشی های هوشمند اندرویدی ارزان قیمت را تائید کرده است و به گفته این شرکت امکان حذف و پاکسازی گوشی از این بدافزارها به طور کامل وجود ندارد.
آنتی ویروس اوست (Avast) به تازگی از وجود نرم افزارهای مخربی در بسیاری از گوشی های هوشمند ارزان قیمت اندرویدی که گواهینامه گوگل ندارند، خبر داده است. وجود این بدافزارها در گوشی سبب می شود پیغامهایی برای کاربران ارسال شود و آنها را مجبور به دانلود اپلیکیشنهایی می کند که به آنها نیاز ندارند. این بدافزارها Cosiloon نام دارند و در هنگام کار با گوشی، پیغامهای تبلیغاتی متعددی برای کاربر ارسال می کنند که میبایست اپلیکیشنهای خود را آپدیت کنند و یا حتی آنها را مجبور به دانلود برنامههای غیرضروری و حتی مخرب مینمایند. این بدافزارها در گوشیهای هوشمند ZTE، Archos و myPhone دیده شده است.
این اپلیکیشن از یک دراپر (dropper) و یک payload تشکیل شده است. دراپر (dropper) یک اپلیکیشن کوچک و بدون هیچگونه پیچیدگی است که در قسمت های مختلف سیستم دستگاههای آلوده قرار میگیرد. این برنامه کاملا غیرفعال است و تنها در لیست برنامه های سیستم کاربر در زیر تنظیمات گوشی دیده می شود. اوست (Avast) اینگونه اظهار می کند که دراپر (dropper) را با دو اسم مختلف CrashService و ImeMess در گوشی های آلوده دیده است. در ادامه دراپر (dropper) به سایتی متصل می شود و اطلاعاتی که یک هکر نیاز دارد بر روی گوشی نصب کند را بدست می آورد.
مانیفست XML اطلاعات متعددی را در بر می گیرد. این اطلاعات شامل دانلودها و اینکه چه برنامه هایی شروع به کار کنند، خواهد بود و همچنین حاوی یک لیست سفید برنامه ریزی شده است تا به طور بالقوه از آلوده شدن کشورها و دستگاه های خاص جلوگیری کند. با این حال ما تا الان لیست سفیدی که برای کشورها استفاده شود را ندیده ایم و تنها چند دستگاه در نسخه های اولیه در این لیست قرار گرفته اند. در حال حاضر هیچ کشور یا دستگاهی در این لیست قرار ندارد. همچنین تمام آدرس URL بدافزار Cosiloon دارای یک کدرمزگذاری شده در سیستم APK است.
دراپر (dropper) بخشی از ساختار سیستم بوده و به سادگی حذف نمی شود.
به طور خلاصه می توان گفت:
دراپر (dropper) می تواند بسته های نرم افزاری مشخصی را بدون رضایت و یا اطلاع کاربر، از طریق دانلودهای مانیفست که به واسطه یک اتصال HTTP بدون رمزگذاری انجام می شود را بر روی گوشی نصب کند. دراپر (dropper) در جایی از زنجیره تامین توسط سازنده، سازنده های تجهیزات اصلی و یا کاربر در حالت پیش نصب قرار دارد. کاربر نمی تواند دراپر (dropper) را حذف کند زیرا یکی از اپلیکیشن های اصلی سیستم بوده و بخشی از ساختار گوشی کاربر می باشد.
آنتی ویروس اوست (Avast) توانایی شناسایی و حذف payload را داشته و برای غیرفعال سازی دراپر روشهای زیر را پیشنهاد می دهد. اگر دراپر متوجه وجود نرم افزار آنتی ویروس بر روی گوشی شما شود به سرعت نوتفیکیشن های ارسالی را متوقف می کند اما همچنان به محض باز کردن مرورگر خود، به شما پیشنهاد دانلود نرم افزارهای نامرتبط و بدافزارهای مخرب را می دهد.
سایت Engadget به این نکته اشاره دارد که این بدافزارها دقیقا مشابه بدافزار Superfish لنوو است که چندی پیش با ارسال هزاران کامپیوتر جدید از این شرکت منتشر شده بود.