출처 : https://jp.techcrunch.com/2018/05/25/2018-05-24-some-low-cost-android-phones-shipped-with-malware-built-in/
Avast 는 Google의 인증을받지 못한 많은 저렴한 Android 휴대 전화가 악성 코드 (악성 소프트웨어)로 오염 된 상태로 출하되는 것을 발견했다. 이 악성 코드에 의해 이용자가 원하지 않는 응용 프로그램을 다운로드 당하고 만다. Cosiloon 불리는이 악성 코드는 응용 프로그램의 선전을하거나 사용자를 속여 응용 프로그램을 다운로드 시키거나하기 위해 화면에 광고를 표시한다. ZTE, Archos, myPhone에서 오염 된 디바이스가 출시되고있다.
이 악성 코드는 드롭퍼와 페이로드로 구성되어있다. "드로퍼는 난독 화되지 않은 작은 응용 프로그램에서 오염 된 장치"/ system "파티션에 있습니다.이 응용 프로그램은 전혀 눈에 띄지 않는 것"설정 "아래의 시스템 응용 프로그램의 목록에서 이 밖에 사용자에게 보이지 않게되어 있습니다. 우리는 "CrashService"또는 "ImeMess"라는 두 가지 스포이드를 목격했다 "고 Avast는 쓰고있다. 그 드로퍼는 웹 사이트에 접속하여 해커가 전화에 설치할 페이로드를 다운로드한다. "XML 매니페스트는 무엇을 다운로드하거나 어떤 서비스를 시작하거나 같은 정보 나 특정 국가 나 장치를 감염에서 제외하도록 프로그램 된 화이트리스트가 포함되어 있습니다.하지만 우리는 화이트리스트가 사용 된 국가를 본 적이 아니라 초기 버전에서는 단지 몇 개의 장치 만 화이트리스트에 등록되지 않았습니다. 현재는 화이트리스트에 등록되어있는 국가 나 장치가 없습니다. Cosiloon 전체 URL이 APK (Android 애플리케이션 패키지 형식)에 하드 코드되어 있습니다. "
드로퍼는 시스템 펌웨어의 일부이며, 쉽게 제거 할 수 없다.
요약하면 :
드로퍼는 암호화되지 않은 HTTP 연결을 통해 다운로드 된 매니페스트에 정의 된 응용 프로그램 패키지를 사용자의 동의없이 설치 할 수 있습니다.
스포이드 제조 업체, OEM 그리고 경력을 연결하는 공급 체인 내에서 사전 설치되어 있습니다.
드로퍼는 장치의 펌웨어의 일부인 시스템 응용 프로그램이기 때문에 사용자가 삭제할 수 없습니다.
Avast Mobile Security (Google Play Store에서 다운로드 가능)를 사용하면 페이로드를 탐지하고 제거 할 수 있지만,이 응용 프로그램에서이 드롭퍼 자신을 무효화 할 수 없기 때문에 Avast는 사용자가 "설정"중 에서 "Crash Service"또는 "ImeMess"라는 응용 프로그램을 찾아 수동으로 "중지"할 것을 권장하고있다 (사이트에서의 설명은 여기 ). 드로퍼는 바이러스 백신 소프트웨어를 휴대 전화에서 발견 한 경우에는 시끄러운 광고 표시는 정지하지만, 그래도 디폴트 브라우저에서 브라우징을하는 동안 응용 프로그램의 다운로드를 권장된다. もちろろん그것은 더 많은 (더 악질적 인) 악성 코드들을招き入れる위한 것이다. Engadget 의 지적에 의하면, 감염 소프트는 악성 코드를 내장 한 수천 대의 컴퓨터가 출하 된 Lenovo의 "Superfish"위협 에 비슷하다는 것이다.