Theo các nhà nghiên cứu bảo mật của Avast, mã độc Cosiloon đang có trong khoảng 18.000 thiết bị di động, chủ yếu là máy tính bảng chạy Android dùng chip MediaTek. Các trường hợp bị nhiễm được ghi nhân tại hơn 100 quốc gia trên thế giới, nhiều nhất ở Nga, Italy, Đức, Anh, Ukraina, Bồ Đào Nha, Venezuela, Hy Lạp, Pháp, Romania...
Smartphone bị nhiễm Cosiloon sẽ tự hiển thị quảng cáo trên màn hình. |
Đại diện nhóm nghiên cứu cho biết, những smartphone bị phát hiện đều có sẵn Cosiloon khi bán ra. Malware này không tạo lỗ hổng bảo mật để tấn công thiết bị nhưng sẽ hiển thị các quảng cáo ứng dụng trên màn hình hoặc "gợi ý" người dùng tải về các ứng dụng đó.
Theo mô tả, Cosiloon nằm trong phân vùng /system, chứa một chương trình độc hại được thiết kế để tự động cài mã độc chỉ định gọi là dropper. Một đoạn mã khác chạy trên máy nạn nhân, dùng để thực hiện một số hoạt động nào đó hoặc tự động kết nối về máy của kẻ tấn công gọi là payload. Các nhà bảo mật đã phát hiện có hai dropper "CrashService" và "ImeMess", kết nối đến một website bên ngoài nhằm tải payload mà hacker muốn cài trên điện thoại.
"Điều đáng ngại là Cosiloon cài đặt từ trước, nằm rất sâu và xem như là ứng dụng hệ thống, là một phần của hệ điều hành Android nên rất khó bị loại bỏ", đại diện Avast nhấn mạnh.
Hiện phía Avast đã gửi báo cáo về Cosiloon lên Google. Phía công ty này cho biết đang làm việc để khắc phục vấn đề, cũng như liên hệ với các nhà phát triển nhằm cảnh báo về sự xuất hiện của malware này.
Theo VNE