Säkerhetsföretaget Avast har avslöjat en enorm skandal där kriminella kan ha infekterat så många som 141 modeller av Android-telefoner med skadeprogrammet Cosiloon. Det som utmärker nyheten är att programmet följer med i telefonerna direkt ur lådan.
- Samtliga telefoner är budgetmodeller
- Kriminella ligan som utför attackerna kan vara från Kina
- Berörda telefoner har använts i mer än tre år
- Säkerhetsföretaget Avast är osäkra på hur ligan utfört attackerna
Enligt uppgift ska ligan som utförde attacken ha kommit åt delar av tillverkningskedjan. Genom att installera skadeprogrammet redan vid tillverkningen och sedan dölja det för användaren har telefonerna kunnat cirkulera oberört på marknaden i mer än tre år.
I samtliga fall handlar det om budgetmodeller som påverkar användare i fler än 90 länder. Främst handlar det om Ryssland, Italien, Tyskland, Storbritannien, Ukraina, Portugal, Venezuela, Grekland, Frankrike och Rumänien.
Exakt vilka som ligger bakom det hela är oklart. Avast misstänker dock att förövarna är samma som 2016 lyckades infektera 26 Android-telefoner innan försäljning med samma skadeprogram. Det finns indikationer på att attackerna började i Kina, men det är ännu obekräftat.
Bland de berörda tillverkarna finner vi kända namn som Archos, ZTE och Blaupunkt. En komplett lista över alla enheter som berörs hittar ni här (Google Docs).
Frågan är då – vad gör Cosiloon och hur påverkas du som användare?
Tacksamt nog visar Cosiloon bara reklam på de berörda telefonerna. Det kan vara nog irriterande så klart, för att inte tala om att den som klicka på annonserna omedvetet sponsrar kriminell verksamhet. Men det hade kunnat vara så mycket värre om skadeprogrammet exempelvis hade spionera på användaren, eller bryta kryptovalutor. Vilket inte är en omöjlighet heller.
När skadeprogrammet installeras på en Android-telefon eller surfplatta körs mjukvaran från mappen /system med fulla systemrättigheter. Huvudmålet är att få åtkomst till en extern server, ladda ner en XML-fil och installera en eller flera appar från tredjepart.
De som styr Cosiloon väljer själva vad som ska laddas ner genom att ändra adresser i XML-filen. Så bara för att den laddar ner reklamvisande appar idag betyder det inte att användarna går helskinnade från spionappar eller annat otyg i framtiden.
Avast vet inte hur Cosiloon installeras på telefonerna
En nämnvärd detalj är att telefoner som är satt till kinesiskt språk och som har en IP-adress från Kina inte omfattas av reklamvisningen. Troligtvis för att de kriminella arbetar inifrån Kina och vill undgå inblandning med kinesiska myndigheter. Smart vågar vi säga.
Den stora frågan är nu hur man bli av med otyget från telefonerna och hur man stoppar vidare spridning från tillverkningsindustrin.
Omfattningen och faktumet att en stor mäng mobiloperatörer berörs gör det svårt för Avast att hitta ursprungskällan (eller källorna) till spridningen. Den enda gemensamma nämnare för alla mobiler som berörs är att de använder MediaTek-kretsar. Dock är inte alla mobiltelefoner med processor från MediaTek infekterade, så kretstillverkaren kan sannolikt inte beskyllas här.
En förklaring kan vara att ligan i frågan är opportunister som passar på att infektera när de får chansen. Om det stämmer återstår att se.
Du kan läsa mer om nyheten i den här rapporten från Avast.
