News vom 29.05.2018

Cosiloon: Malware tief im Gerät verankert

Ein Artikel von , veröffentlicht am 29.05.2018

In preiswerten Smartphones mit älteren Android-Versionen hat ein Sicherheitsunternehmen ein komplexes Schadwareprogramm gefunden. Das Programm „Cosiloon“ lässt sich nur schwer entfernen und lädt eigenständig Werbeschadprogramme nach.

Auf hunderten Modellen preiswerter Android-Smartphones hat ein Team des IT-Sicherheitsdienstleisters Avast ein Malwarepaket namens „Cosiloon“ entdeckt. Es blendet in der Browser-App des Smartphones Pop-ups mit unerwünschte Werbung ein, oft für andere zweifelhafte Apps.

Nach Schätzung von Avast sind etwa 18.000 Nutzerinnen und Nutzer in mehr als 90 Ländern betroffen, vor allem aus Russland, Italien und Deutschland. Das Unternehmen hat eine Liste potenziell betroffener Geräte veröffentlicht, auf denen sie in mindestens einem Fall die Schadware entdeckt haben. Auf der Liste stehen Modelle wie ZTE und Archos, die auch in Deutschland im Handel sind.

Auf allen Geräten läuft veraltete Android-Software von Version 4.2 bis Version 6.0. Gerade preiswerte, wenig leistungsfähige Smartphones arbeiten oft mit älteren, unsicheren Versionen von Android.

Tief im Gerät verankert

Was die Sache kompliziert macht: Cosiloon befindet sich schon beim Kauf auf den betroffenen Smartphones. Es ist auf der untersten Software-Ebene des Smartphones enthalten, der „Firmware“. Diese steuert den Prozessor, über den das Betriebssystem mit den anderen Bauteilen kommuniziert. Alle Geräte, die Avast analysiert hat, enthielten ein Chip des taiwanischen Prozessorherstellers MediaTek.

Cosiloon lädt eigenständig nach

Cosiloon ist ein Paket aus zwei Programmen. Es gibt einen sogenannten Dropper. Dieser nimmt Kontakt mit einem Server im Netz auf und lädt eigenständig ein konkretes Werbeschadprogramm herunter. Der Dropper kann dieses Schadprogramm immer wieder nachladen und aktualisieren. Er ist eine Systemanwendung und lässt sich weder durch die Nutzerin oder den Nutzer noch durch Antivirenprogramme entfernen.

Das Schadwarepaket könnte auch deutlich gefährlichere Programme auf das Gerät laden, etwa Spionageprogramme oder Erpressungssoftware, die das Gerät verschlüsselt. Bisher haben die Avast-Mitarbeiter aber nur Werbeprogramme entdeckt.

Google Play Protect hat reagiert

Wie Cosiloon in die Firmware gekommen ist, ist nicht bekannt. Avast vermutet, dass es ohne Wissen der Gerätehersteller geschehen ist. Das Unternehmen hat Kontakt mit dem Sicherheitsteam von Android aufgenommen. Das Sicherheitsprogramm Google Play Protect ist laut Erkenntnissen von Avast mittlerweile in der Lage, sowohl den Dropper als auch die konkrete Werbeschadware zu entfernen.

Google Play Protect ist das Google eigene Antivirenprogramm des IT-Konzerns. Was es kann und was nicht, können Sie im Mobilsicher-Artikel Play Protect: Virenschutz made by Google nachlesen.

Das habe dazu geführt, dass die Zahl betroffener Geräte stark gesunken ist, es seien aber immer noch Geräte betroffen. Wieso das so ist, schreibt Avast nicht. Wir vermuten, es liegt daran, dass auf Geräten mit älterer Android-Sotware Google Play Protect nicht automatisch aktiv ist. Es muss erst durch die Nutzerin oder den Nutzer aktiviert werden.

Verdächtige Systemanwendungen?

Der Dropper kann verschiedene Namen tragen, in der Analyse von Avast hieß er „CrashService“, „ImeMess“ oder „Terminal“. Er ist in der Liste der Systemanwendungen zu finden und hat als Symbol das bekannte Android-Logo.

Auch die von den Droppern geladenen Werbeschadprogramme sind in den meisten Fällen Systemanwendungen. Sie tragen wechselnde Namen, in der Analyse hießen sie beispielsweise „MediaService”, „eVideo2Service“ oder „Vplayer“.

Die Sicherheitsexperten von Avast empfehlen, in der Liste der Systemanwendungen nach verdächtigen Programmen zu schauen. Diese sollten Sie über die Funktion „Deaktivieren“ abschalten. In wenigen Fällen sind die Werbeschadprogramme normale Apps und keine Systemanwendungen. Sie hießen in der Analyse von Avast beispielsweise „Goolge Contacts“. Solche Apps lassen sich auch deinstallieren. Das ist allerdings nur dann sinnvoll, wenn Sie auch den Dropper deaktivieren. Ansonsten lädt er das Werbeschadprogramm immer wieder nach.

Wenn das Modell Ihres Smartphones in der Liste potenziell betroffener Geräte enthalten ist, empfehlen wir außerdem, wenn möglich Google Play Protect zu aktivieren – zumindest so lange, bis Google Play Protect die jeweiligen Apps von Ihrem Gerät entfernt hat.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Snapchat: Gelöscht ist nicht gleich gelöscht

Snapchat ist gerade bei Jugendlichen sehr beliebt. Die Messenger-App verspricht, dass alle Nachrichten nach kurzer Zeit gelöscht werden. Hält Snapchat das Versprechen? Und welchen Bedingungen stimmt man bei der Nutzung automatisch zu?

Mehr
Ratgeber 

Android ohne Google – wie geht das?

Wer ein Android-Gerät in Betrieb nimmt, wird aufgefordert, die Nutzungsbedingungen von Google zu akzeptieren und ein Google-Konto einzurichten. Von diesem Moment an fließen Nutzungsdaten an den Konzern. Geht es auch anders?

Mehr
Ratgeber 

So löschen Sie Ihre Standortdaten bei Google

Google hat neue Funktionen angekündigt, mit denen NutzerInnen die beim IT-Konzern gespeicherten eigenen Daten automatisch löschen lassen können. Bis es soweit ist, muss man diesen Schritt noch von Hand vornehmen. Wie Sie die Löschoption für die Standortdaten finden, zeigen wir hier in einfachen Schritten.

Mehr
Ratgeber 

Test: Clean Master (Boost Antivirus) kontaktiert heimlich Porno-Seiten

Was kann Clean Master? Die App „Clean Master“ verspricht einen ganzen Blumenstrauß an Verbesserungen und Schutzfunktionen. Unter anderem beendet sie Hintergrundprozesse, löscht vermeintlich unnütze Dateien, leert den Cache und will sogar vor Viren schützen. Für moderne Android-Systeme ist allerdings keine dieser Funktionen wirklich notwendig. Sie beschleunigen das Gerät nicht. Die Leistungsfähigkeit von Apps als „Virenscanner“ […]

Mehr