18'000 Android-Geräte mit vorinstallierter Malware ermittelt

Das Avast Threat Lab hat auf rund 18'000 Geräten von über 1000 Modellen die vorinstallierte Adware Cosiloon gefunden. Darunter sind Geräte der Hersteller ZTE, Archos und Myphone. Die meisten Geräte sind in Russland betroffen, gefolgt von Italien, Deutschland, Grossbritannien, Ukraine und Portugal.

Die Adware, die seit mindestens drei Jahren aktiv ist, ist nur schwer zu entfernen, da sie immer wieder neu über einen Dropper geladen wird, eine App, die darauf programmiert ist, im Hintergrund Schadprogramme auf Smartphones zu laden. Dieser Dropper ist Teil der Firmware der Geräte und verwendet starke Verschleierungsmechanismen, wie Avast mitteilt.

Wie die Adware auf die Geräte gelangt ist, ist unklar. Sie wurden bereits von den Herstellern mit dem vorinstallierten Dropper verkauft. Wenn Antiviren-Apps die Adware erkennen, installiert der Dropper direkt nach der Entfernung erneut. Diese dauerhafte Schwachstelle am Smartphone könnte es laut Avast sogar Dritten ermöglichen, unerwünschte Software zu installieren.

Avast steht derzeit mit Google in Kontakt, um die schädlichen Auswirkungen zu bekämpfen. Google hat dafür eigene Technologien im Einsatz und hat auch Google Play Protect aktualisiert, damit die App zukünftig erkannt wird. Ist der Dropper allerdings bereits vorinstalliert, ist das Problem wohl nur schwer zu lösen. Google hat sich in dem Zusammenhang bereits an die Entwickler der Firmware gerichtet und gebeten, das Problem anzugehen. Immerhin: Seit Google Play Protect den Schädling Cosiloon erkennt, ist die Zahl der Geräte mit neuem Payload laut Avast bereits zurückgegangen.