Android e malware: “Cosiloon” è la minaccia del momento pre-installata su alcuni smartphone: quali?

Un recente studio di Avast Software, in merito alle nuove frontiere del malware per Android, sembra aver portato alla luce una minaccia del tutto particolare, che per una volta tanto non sarebbe frutto di pratiche di download o navigazione web inadeguate da parte dell’utente. L’attacco evidenziato da Avast, dal nome “Cosiloon”, è infatti frutto di software pre-installato a sorpresa da alcuni produttori, tra cui Archos, ZTE ed altri brand menzionati nella ricerca.

La presenza di malware Android pre-installato a livello firmware dai produttori, specialmente orientali, non è di certo una novità: sorprende tuttavia il fatto che Cosiloon sia stato scoperto anche a bordo di alcuni device distribuiti da case occidentali, il che potenzialmente ne aumenta ancora di più la diffusione e il pericolo.

Il funzionamento di questo particolare tipo di malware è stato rivelato da Avast: Cosiloon è formato da due APK, rispettivamente un “dropper” (che scarica ed installa il malware) ed il “Payload” (ovvero, il malware vero e proprio). Durante la navigazione web, l’attacco crea un overlay grafico, al fine di mostrare pubblicità specifiche che possono avviare il download di ulteriori minacce all’insaputa dell’utente.

Il problema viene oltretutto complicato dalla presenza di due varianti del dropper di Cosiloon, note come ‘CrashService’ e ‘ImeMess.’ E’ stato notato che i dropper possono addirittura essere incorporati nella SystemUI di Android, il che ci offre una buona panoramica su quante “libertà” possa prendersi il malware in questione nell’interferire col funzionamento di sistema.

Avast ha infine ricevuto report sul malware da oltre 90 paesi, tra cui Russia, Germania, Regno Unito, Francia, Portogallo ed anche l’Italia: i bersagli più popolari sono smartphone e tablet di basso livello, dotati di processori MediaTek e non certificati da Google: ci saranno altre vittime in futuro?

fonte: Avast