ArenaLTE.com - Avast Threat Labs berhasil menemukan adware yang telah diinstal sebelumnya pada beberapa ratus model dan versi perangkat Android yang berbeda, yang termasuk perangkat dari produsen seperti ZTE, Archos, dan myPhone.
 
Mayoritas dari perangkat tersebut tidak disertifikasi oleh Google dan mengandung Adware menggunakan nama “Cosiloon” yang menciptakan overlay untuk menampilkan iklan di atas halaman web pada browser pengguna.
 
Ribuan pengguna telah terpengaruh dan pada satu bulan sebelumnya, Avast Threat Labs telah melihat adware versi terbaru pada sekitar 18,000 perangkat yang dimiliki oleh pengguna Avast yang berada di lebih dari 100 negara di dunia termasuk di Indonesia
 
Adware yang sebelumnya dianalisa dan dijelaskan oleh Dr. Web, telah aktif setidaknya selama tiga tahun dan sulit untuk dihapus karena diinstal pada tingkat firmware dan menggunakan obfuscation yang kuat.
 
Avast Threat Labs telah berhubung dengan Google dan mereka telah sadar akan isu tersebut. Google telah mengambil langkah lebih lanjut untuk mengurangi kemampuan malicious pada beberapa versi aplikasi yang terletak di beberapa model perangkat, dengan menggunakan teknik yang dikembangkan secara internal.
 
Google Play Protect telah diperbarui untuk memastikan adanya cakupan untuk aplikasi-aplikasi tersebut di masa depan. Bagaimanapun, karena aplikasi datang dengan firmware yang telah diinstal, membuat isu yang terjadi sulit untuk ditemukan.  Google telah menghubungi beberapa pengembang firmware untuk memberikan kesadaran terhadap isu ini dan mendorong mereka untuk mengambil langkah untuk mengatasi isu ini.
 
Mengidentifikasi Cosiloon
Pada beberapa tahun belakangan, Avast threat Labs telah mengamati dari waktu ke waktu beberapa sampel Android yang aneh pada database mereka. Sampel terlihat layaknya sampel adware lainnya, dengan pengecualian bahwa adware tampaknya tidak memiliki titik infeksi dan beberapa nama paket yang serupa, yang paling umum adalah:
· com.google.eMediaService
· com.google.eMusic1Service
· com.google.ePlay3Service
· com.google.eVideo2Service

 
Masih tidak jelas bagaimana adware masuk ke dalam perangkat. Server kontrol yang dijalankan hingga April 2018 dan pencipta terus memperbaruinya dengan payloads baru. Avast telah berusaha untuk menonaktifkan C&C server Cosiloon dengan mengirimkan permintaan untuk mematikan pendaftar domain dan server penyedia layanan.
 
‘‘Sayangnya aplikasi malicious dapat diinstal pada tingkat firmware sebelum dikirmkan kepada pelanggan, yang mungkin tanpa sepengetahuan produsen. Jika aplikasi diinstal pada tingkatan firmware, sangat sulit untuk dihapus“ jelas Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security at Avast.
 
Bagaimana cara menonaktifkan Cosiloon
Pengguna dapat menemukan dropper di pengaturan mereka (bernama ‘‘CrashService“,‘‘ImeMess“ or “Terminal“ dengan ikon Android umumnya) dan bisa mengklik tombol “disable“ pada halaman aplikasi, jika tersedia (tergantung pada versi Android). Ini akan menonaktifkan dropper dan ketika Avast Mobile Security menghapus payload, dropper tidak akan muncul kembali.