Một loạt các mẫu smartphone giá rẻ đến từ các nhà sản xuất bao gồm ZTE, Archos, Prestigio… mới đây đã bị phát hiện cài đặt trái phép mã độc hiển thị quảng cáo “Cosiloon”.
Nhà sản xuất Trung Quốc ZTE mới đây đã và đang phải đối mặt với lệnh cấm tại Hoa Kỳ sau khi bị cáo buộc theo dõi rất nhiều người dùng tại thị trường này. Dù đã được gỡ bỏ lệnh cấm vào vài ngày trước, tuy nhiên ZTE có thể sẽ còn gặp rắc rối nhiều hơn khi mới đây hãng này lại bị phát hiện đã cài đặt sẵn các mã độc lên các thiết bị của mình. Công ty nghiên cứu bảo mật Avast Software vừa qua đã thông báo chi tiết về mã độc có tên “Cosiloon” này. Ngoài ZTE, mã độc này còn được tìm thấy trên nhiều thiết bị đến các nhà sản xuất khác như Archos, Prestigio…
Không chỉ vậy, Avast Software còn phát hiện ra mã độc này thậm chí đã tồn tại trên rất nhiều các mẫu smartphone ít nhất là trong 3 năm qua. Nhiệm vụ của nó là tạo ra một lớp phủ màn hình để hiển thị quảng cáo trên thiết bị của người dùng. Mã độc này chứa 2 gói tệp tin APK: trình tải xuống/cài đặt mã độc và bản thân mã độc.
Hai biến thể của trình tải xuống và cài đặt mã độc đã được phát hiện với tên “CrashService” và “ImeMess”. Nhiều thiết bị Android thậm chí còn có chứa sẵn trình tải xuống này như là một ứng dụng hệ thống, ẩn sâu bên trong gói ứng dụng com.android.keyguard. Tuy nhiên trường hợp này ít được tìm thấy hơn.
Avast cũng đã khám phá ra hàng trăm phiên bản khác nhau của mã độc này, phiên bản mới nhất của nó bao gồm cả các dịch vụ quảng cáo của Google, Facebook và Baidu. Bản thân nó tự giả dạng thành một ứng dụng hệ thống bên trong trình khởi chạy để tránh sự chú ý của người dùng. Một vài gói ứng dụng còn giải dạng thành các dịch vụ media như “MediaService”, “eVideo2Service” hay “VPlayer”.
Avast đã nhận được hàng ngàn báo cáo từ hơn 90 quốc gia. Top 10 các quốc gia được ghi nhận có sự xuất hiện của mã độc bao gồm Nga, Ý, Đức, Anh, Ukraine, Bồ Đào Nha, Venezuela, Hy Lạp, Pháp và Romania. Các thiết bị bị ảnh hưởng hầu hết là các thiết bị smartphone và máy tính bảng giá rẻ chạy chip MediaTek và chưa hề được chứng nhận bởi Google. Danh sách các thiết bị bị ảnh hưởng có thể được xem tại đây, tuy nhiên Avast cũng lưu ý rằng chỉ có 1 số biến thể của 1 vài thiết bị nhất định là có chứa mã độc.
Avast cũng đã gửi yêu cầu gỡ bỏ đến tên miền đằng sau mã độc này, tuy nhiên dường như máy chủ của tên miền này đã được di chuyển sang một nhà cung cấp khác. Ứng dụng quét virus của Avast vừa qua đã được cập nhật để tự phát hiện và gỡ bỏ các mã độc, tuy nhiên do giới hạn về quyền hạn của ứng dụng, trình tải xuống và cài đặt hiện không để bị vô hiệu hóa. Google Play Protect là ứng dụng duy nhất có thể vô hiệu hóa mã độc này, nhưng do không được chứng nhận bởi Google, các thiết bị này lại không được cài đặt Google Play Protect.
Chi tiết về mã độc này sẽ được chúng tôi sớm cập nhật trong thời gian tới khi có bất cứ thay đổi nào. Trong lúc đó, người dùng nên cẩn thận tìm hiểu và cân nhắc kỹ trước khi quyết định bỏ tiền ra mua bất cứ các thiết bị Android giá rẻ nào nếu không muốn được “khuyến mại” thêm nhiều loại mã độc khác.
