Hunderte Modelle betroffen
Auf hunderten Modellen preiswerter Android-Smartphones hat ein Team des IT-Sicherheitsdienstleisters Avast ein Malwarepaket namens „Cosiloon“ entdeckt, wie mobilsicher.de dazu berichtete. Die Malware blendet in der Browser-App des Smartphones Pop-ups mit unerwünschter Werbung ein, oft für andere zweifelhafte Apps.
Laut Schätzungen des Sicherheitsunternehmens Avast sind etwa 18.000 Nutzerinnen und Nutzer in mehr als 90 Ländern betroffen, vor allem aus Russland, Italien und Deutschland. Das Unternehmen hat eine Liste potenziell betroffener Geräte veröffentlicht, auf denen sie in mindestens einem Fall die Schadware entdeckt haben. Auf der Liste stehen Modelle wie ZTE und Archos, die auch in Deutschland im Handel sind.
Auf allen Geräten läuft veraltete Android-Software von Version 4.2 bis Version 6.0. Gerade preiswerte, wenig leistungsfähige Smartphones arbeiten oft mit älteren, unsicheren Versionen von Android.
Smartphones kommen infiziert auf den Markt
Wie weiter dazu verlautete befindet sich Cosiloon schon beim Kauf auf den betroffenen Smartphones. Es ist auf der untersten Software-Ebene des Smartphones enthalten, der „Firmware“. Diese steuert den Prozessor, über den das Betriebssystem mit den anderen Bauteilen kommuniziert. Alle Geräte, die Avast analysiert hat, enthielten einen Chip des taiwanischen Prozessorherstellers MediaTek.
Cosiloon ist ein Paket aus zwei Programmen. Es gibt einen sogenannten Dropper. Dieser nimmt Kontakt mit einem Server im Netz auf und lädt eigenständig ein konkretes Werbeschadprogramm herunter. Der Dropper kann dieses Schadprogramm immer wieder nachladen und aktualisieren. Er ist eine Systemanwendung und lässt sich weder durch die Nutzerin oder den Nutzer noch durch Antivirenprogramme entfernen.
Das Schadwarepaket könnte auch deutlich gefährlichere Programme auf das Gerät laden, etwa Spionageprogramme oder Erpressungssoftware, die das Gerät verschlüsselt. Bisher haben die Avast-Mitarbeiter aber nur Werbeprogramme entdeckt.
Google Play Protect hat gehandelt
Nach Information des Sicherheitsteams von Android durch Avastist das Sicherheitsprogramm Google Play Protect zwischenzeitlich in der Lage, sowohl den Dropper als auch die konkrete Werbeschadware zu entfernen. Trotzdem die Zahl betroffener Geräte danach sank gibt es weiterhin noch Probleme. Dazu wird vermutet, dass auf Geräten mit älterer Android-Sotware Google Play Protect nicht automatisch aktiv ist. Es muss erst durch die Nutzerin oder den Nutzer aktiviert werden.
Der Experten-Rat
Die Sicherheitsexperten von Avast empfehlen, in der Liste der Systemanwendungen nach verdächtigen Programmen zu schauen. Diese sollten Sie über die Funktion „Deaktivieren“ abschalten. In wenigen Fällen sind die Werbeschadprogramme normale Apps und keine Systemanwendungen. Sie hießen in der Analyse von Avast beispielsweise „Goolge Contacts“. Solche Apps lassen sich auch deinstallieren. Das ist allerdings nur dann sinnvoll, wenn Sie auch den Dropper deaktivieren. Ansonsten lädt er das Werbeschadprogramm immer wieder nach.
Daneben empfiehlt mobilsicher bei Geräten, die in der Liste potenziell betroffener Geräte enthalten sind, wenn möglich Google Play Protect zu aktivieren – zumindest so lange, bis Google Play Protect die jeweiligen Apps von Ihrem Gerät entfernt hat.
