O Laboratório de Ameaças da Avast reportou na quinta-feira (24) que encontrou um adware pré-instalado em centenas de diferentes modelos e versões de dispositivos Android, incluindo dispositivos ZTE, Archos e myPhone.

A maioria desses dispositivos não é certificada pelo Google, diz a Avast. O adware recebeu o nome “Cosiloon” e cria uma sobreposição para exibir um anúncio em uma página web no navegador do usuário.

Somente no mês passado, a Avast detectou a última versão do adware em cerca de 18 mil dispositivos pertencentes a usuários da Avast localizados em mais de 100 países, incluindo Brasil, Argentina, México, França, Espanha, Índia, Áustria e Estados Unidos.

"O adware, que foi previamente analisado pelo Dr. Web, está ativo há pelo menos três anos e é difícil de ser removido, visto que foi instalado em nível de firmware e usa forte ofuscação", diz a Avast que informou que o Google está ciente do problema.

O Google adotou medidas para atenuar as capacidades maliciosas de muitas variantes de aplicativos em vários modelos de dispositivos, usando técnicas desenvolvidas internamente. Uma delas é o Google Play Protect, que foi atualizado para garantir que haja cobertura para esses aplicativos no futuro. No entanto, como os aplicativos vêm pré-instalados com firmware, o problema é difícil de resolver. "O Google entrou em contato com desenvolvedores de firmware para conscientizá-los sobres essas questões e os incentivou a tomar medidas para resolver o problema", reporta o relatório da Avast.

"Aplicativos maliciosos podem, infelizmente, ser instalados no firmware antes de serem enviados aos consumidores", explica Nikolaos Chrysaidos, Chefe de Segurança amp;amp; Inteligência de Ameaças a Dispositivos Móveis da Avast. "Se um aplicativo estiver instalado no firmware é muito difícil removê-lo, tornando imperativas as colaborações na cadeia industrial entre fornecedores de segurança, o Google e OEMs. Juntos, podemos garantir um ecossistema móvel mais seguro para os usuários de Android".

Como desativar o Cosiloon

O Avast Mobile Security pode detectar e desinstalar a carga de malware, mas não pode adquirir as permissões necessárias para desativar o dropper. Por isso, o Google Play Protect precisa realizar o trabalho pesado. Se um dispositivo estiver infectado, o Google Play Protect deve desativar automaticamente o dropper e a carga. A Avast informa que tal metodologia funciona, porque o seu Laboratório de Ameaças observou uma queda no número de dispositivos infectados por novas versões de cargas de malware, depois que o Play Protect começou a detectar o Cosiloon.

Os usuários podem encontrar o dropper nas configurações (chamado "CrashService", "ImeMess" ou "Terminal" com um ícone Android genérico). Então, basta clicar no botão "desativar" na página do aplicativo, se disponível (dependendo da versão do Android). Isso desativará o dropper e uma vez que o Avast remover a carga de malware, ela não retornará novamente.

O Avast Mobile Security pode ser baixado gratuitamente na Google Play Store. A Avast informa que também trabalha com operadoras móveis em todo o mundo, para proteger os usuários contra as ameaças em dispositivos móveis.