顯示廣告
隱藏 ✕
回列表(←)
Disp BBS guest 註冊 登入(i) 線上人數: 627
首頁(home) 上頁(↑) 下頁(↓) 末頁(end)
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2018-05-30 23:40:09
看板 Gossiping
作者 purplvampire (阿修雷)
標題 [新聞] Avast:買低價安卓裝置小心惡意廣告軟體
時間 Wed May 30 20:36:39 2018

1.媒體來源:

iThome

2.完整新聞標題:

Avast:買低價安卓裝置小心惡意廣告軟體上身! 不只惱人而且難以移除

3.完整新聞內文:

這個名為Cosiloon的惡意廣告軟體第一次在2016年,被資安廠商Dr. Web發現,但背後的
伺服器於2018年4月才正式啟用,Avast發現,受感染的廉價行動裝置皆使用聯發科晶片組


文/李建興 | 2018-05-30發表

想購買廉價行動裝置嗎?你可能需要再想想。資安廠商Avast研究發現,不少廉價Android
裝置在出廠時,便會預載硬體層級的惡意廣告軟體Cosiloon,做出侵入式或是蓋版廣告的
行為,而且難以移除。另外,還Avast發現,這些受感染裝置都使用聯發科晶片組


這個惡意廣告程式由兩個單獨的Apk組成,分別是病毒植入程式(Dropper)以及惡意廣告
軟體(Payload)。病毒植入程式容量很小,會被預安裝在手機/system中,使用者很難發
現這個應用程式,僅能在系統設置下看到,它會以CrashService或是ImeMess這兩種名字
存在。


Avast表示,Cosiloon有很多種變形,但是通常行為模式差不多。當裝置連上Wi-Fi,病毒
植入程式會自動從惡意的網站下載一份副檔名為XML的清單資料,這分清單包含了應下載
的檔案、需要啟動的服務,以及在特定國家與裝置的白名單。但是Avast提到,沒有國家
出現在白名單中過,之前有包含幾個裝置的較舊版本,但現在能從該網址下載到的清單中
,白名單部分是空的,而且清單網址是寫死在Apk中的。


病毒植入程式會從清單資訊中的網址,下載真正的惡意廣告軟體,並根據清單啟用不同的
服務,這個動作會在每次裝置啟動時重複。目前至少發現有8種變種,但是形式都差不多
,作者只要能保持清單網址可用,病毒植入程式便能很可靠的執行。


病毒植入程式是在供應鏈中的某一環節被安裝,有可能是製造商、OEM或是電信商,而且
使用者無法移除病毒植入程式,因為它是系統應用程式的一部分。

Avast繼續研究發現更加有趣的事,Cosiloon還有另一種變形,雖然這種變形感染數量較
少,他們只收集到200個樣本。在這個變形中,裝置同樣會預載病毒植入程式,但並非獨
立為一個應用程式,而是被嵌入在SystemUI.apk這個使用者介面的實做中。


Avast提到,病毒植入程式要內嵌在SystemUI.apk中,其背後的含意值得思考,這代表硬
體的韌體遭到某種方式的劫持和修改,要做到這件事非常困難。而這個變形惡意廣告軟體
更加聰明,不僅能偵測自己是否在防毒模擬器中執行,還只會在預設瀏覽器執行時出現廣
告,無所不用其極地隱藏自己,而且還會進行檔案更新。


有一些使用者在網路論壇抱怨了這個惡意廣告軟體引起的問題,而根據Avast研究,該惡
意軟體總共影響90個國家,2018年4月的前五名包含俄羅斯、義大利、德國、英國以及烏
克蘭。


受影響的大宗裝置,為使用聯發科晶片的低價平版電腦,包括愛可視、中興和Prestigio
等品牌,Avast列出了受感染型號,但同時強調,並非這些型號的所有裝置都受感染。此
外,影響的品牌可能更加廣泛,因為惡意軟體存在晶片平臺套件中,而這個套件可用於不
同品牌類似的產品中,非常巧合的Avast檢查到中獎的裝置上的晶片組都來自聯發科


而最讓人驚訝的是,Cosiloon這個惡意軟體並非第一次被發現,而是早在2016年就被資安
廠商Dr. Web提出,只是到了2018年4月這個惡意軟體的伺服器才正式運作,作者正積極的
更新惡意軟體版本,製造商也繼續生產這些有問題的裝置


基本上Cosiloon無法移除,在Avast通報Google後,Google Play Protect現在會自動禁用
病毒植入程式以及惡意廣告軟體,而這也是目前唯一有效的方法,Avast發現在Goolge釋
出這項更新後,受感染的裝置數量下降


4.完整新聞連結 (或短網址):

https://www.ithome.com.tw/news/123513
Avast:買低價安卓裝置小心惡意廣告軟體上身! 不只惱人而且難以移除 | iThome
[圖]
這個名為Cosiloon的惡意廣告軟體第一次在2016年,被資安廠商Dr. Web發現,但背後的伺服器於2018年4月才正式啟用,Avast發現,受感染的廉價行動裝置皆使用聯發科晶片組。 ...

 

5.備註:

便宜沒好貨,別買便宜貨,買了便宜貨,記得快更新!

--
 作者  a000000000 (工口芒果老師)                              看板  Gossiping
 標題  Re: [問卦] 覺青做錯什麼事                                              
 時間  Sun Nov 19 12:20:37 2017                                              
───────────────────────────────────────
智障在那邊嗆智力測驗  這大概只有台灣看的到八

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.132.173
※ 文章代碼(AID): #1R3fhQDn (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1527683802.A.371.html
Waitaha: 中國品牌不意外1F 05/30 20:37
wilson5566: 五樓都用2F 05/30 20:37
boulard: 這裡只有蘋果3F 05/30 20:37
Mario5566: 內建Hao123不就好了4F 05/30 20:38
kiyoe: 已經檢測到危害5F 05/30 20:38
em4: 台灣沒在賣吧6F 05/30 20:38
popy8789: 還好都用apple7F 05/30 20:38
luke11130177: 發哥讚讚讚:)8F 05/30 20:38
iouhsu: MTK不意外9F 05/30 20:38
boulard: 360有用嗎10F 05/30 20:38
jma306:   花惹發11F 05/30 20:38
Tchachavsky: 你需要360安全衛士12F 05/30 20:38
hh800315: Htc 小米 華為 表示:13F 05/30 20:39
rs6000: htc也超愛用聯發科。。。14F 05/30 20:40
peterwu4: 不就系統內建的廣告軟體,講到好像天要塌下來一樣XDD15F 05/30 20:42
bruce2248: 不管喇 高通成本高又很會發燙16F 05/30 20:43
deepdish: 中獎的裝置上的晶片組都來自聯發科17F 05/30 20:43
Kevintsaitsa: 幹啊連發科的晶片就便宜啊,便宜的手機當然就用便宜18F 05/30 20:44
fabrio: 不意外19F 05/30 20:44
Kevintsaitsa: 晶片20F 05/30 20:44
holydc: 哈哈安卓哈哈21F 05/30 20:44
eterbless: 羊毛出在羊身上22F 05/30 20:46
wa88: 我聯發科都溫溫的而已 高通的好熱23F 05/30 20:47
TWLAB: 支那牌一堆廣告24F 05/30 20:48
Shichimiya: 支那手機笑而不語25F 05/30 20:49
yeh0416: 先裝個金山壓壓驚26F 05/30 20:50
andy199113 
andy199113: Avast噁心27F 05/30 20:57
shadow0326: 難怪sony手機這麼多廣告28F 05/30 20:59
frankexs: 都跟韌體綁在一起了,更新有屁用喔……29F 05/30 21:02
slimfat0202: 所以是那個環節出問題?mtk在提供韌體就包了?30F 05/30 21:04
cms6384: 就中國手機阿31F 05/30 21:06
lobaseballve: 金山毒霸笑而不語32F 05/30 21:06
stormsnow: 甘sony屁事 中獎名單上明明就沒有任何一台sony手機zzz33F 05/30 21:09
uf1276: Android手機 讚啦34F 05/30 21:38
cca1109: 支那手機啊35F 05/30 23:28

--
※ 看板: Gossiping 文章推薦值: 1 目前人氣: 0 累積人氣: 660 
※ 本文也出現在看板: K_hot
作者 purplvampire 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
( ̄︶ ̄)b sin8143 說讚!
1樓 時間: 2018-05-31 01:13:07 (台灣)
sin8143
  05-31 01:13 TW 
受感染裝置清單
https://goo.gl/WvT9kY
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇