اخیرا نرم افزار مخربی در برخی گوشیهای ارزان قیمت اندرویدی از جمله ZTE دیده شده است. آنتی ویروس اوست (Avast) نیز اعلام کرده که متاسفانه امکان پاکسازی کامل این بدافزار از روی گوشی وجود ندارد.
درحال حاضر شرکت ZTE درحال مذاکره با دولت آمریکا است که دولت این کشور تحریمهای انجام گرفته را لغو کند، این در حالی اتفاق میافتد که وزارت اطلاعات آمریکا این شرکت را به جرم جاسوسی از کاربران آمریکایی به عنوان یک متهم میشناسد. حال به نظر می رسد این شرکت با مشکلات بیشتری مواجه خواهد بود؛ چرا که نرم افزارهای مخرب از پیش نصب شدهای در تعدادی از گوشی های این شرکت دیده شده است. آنتی ویروس اوست (Avast) نیز در وبلاگ خود در مورد این بدافزارها بیشتر توضیح داده است که این بدافزارها در چند گوشی اندرویدی ارزانقیمت مانند Archos، Prestigio و … مشاهده شدهاند.
این بدافزار به طور مکرر در قالب یک آگهی تبلیغاتی بر روی صفحه نمایش گوشی ZTE به نمایش درآمده و حداقل برای سه سال فعال بوده و Cosiloon نام دارند. Cosiloon از دو قسمت دراپر (dropper) و payload تشکیل شده است. دراپر (dropper) مسئول دانلود و نصب دیگر بدافزار ها است و payload خود بدافزار است.
دو نوع دراپر (dropper) با نامهای CrashService و ImeMess در برخی از گوشی های اندرویدی مانند زد تی ای (ZTE) دیده شده است. در برخی از گوشی ها دراپر در برنامه SystemUI اندروید گوشی جاسازی شده و در قسمت com.android.keyguard پنهان شده است. البته این نوع دراپر کمتر دیده شده است.
آنتی ویروس اوست بیش از صدها نوع payload مختلف را شناسایی کرده است. payload به عنوان یکی از برنامه های سیستم تغییر شکل داده و در لانچر مخفی می شود تا مانع از شناسایی آنتی ویروس شود. برخی از این برنامههایی مانند MediaService، eVideo2Service و VPlayer هستند.
آنتی ویروس اوست در طول ماه گذشته از 90 کشور مختلف گزارش وجود بدافزار از سوی کاربران را دریافت کرده که در میان آنها نام ده کشور روسیه، ایتالیا، آلمان، انگلستان، اوکراین، پرتقال، ونزوئلا، یونان، فرانسه و رومانی دیده می شود. حدود صدها دستگاه به این بدافزار آلوده شده و اغلب آنها گوشی ها یا تبلت هایی با پردازنده MediaTeK هستند. البته اکثر این دستگاه های آلوده توسط گوگل تائید نشده اند. لیست کاملتری از این مدلها در اینجا دیده می شود اما آنتی ویروس اوست اعلام کرده که ممکن است تنها تعدادی از این دستگاهها آلوده شده باشند.
اوست یک درخواست برای حذف این بدافزار به دامنه سرویس payload APK ارسال کرده است اما سرور آن به تازگی به آدرس دیگری منتقل شده است. برنامه آنتی ویروس Avast رای شناسایی و غیرفعالسازی payload آپدیت شده اما به دلیل محدودیت های موجود قادر به شناسایی دراپر نیست. برنامه Google Play Protect قادر به شناسایی و غیرفعالسازی هر دو قسمت dropper و payload بدافزار است ولی اغلب دستگاه های آلوده، این برنامه را ندارند چراکه این گوشی ها اصلا توسط گوگل تائید نشدهاند.