Theo trang tin công nghệ TechCrunch, malware này có tên gọi là "Cosiloon" và nó sẽ hiển thị các quảng cáo trên màn hình hệ điều hành nhằm quảng cáo cho các ứng dụng "ma mãnh", thậm chí là dụ dỗ người dùng tải về các ứng dụng đó.

TechCrunch cũng cho hay, các smartphone bị ảnh hưởng bởi malware "Cosiloon"đến từ các hãng điện thoại ZTE, Archos và myPhone.

Theo các chuyên gia của Avast, malware này chứa một "dropper" - tức một chương trình độc hại được thiết kế để cài đặt một số loại virus, và một "payload" - một đoạn code chạy trên máy nạn nhân, dùng để thực hiện một số họat động nào đó, hoặc dùng để kết nối về máy của kẻ tấn công.

Avast cũng cho biết, dropper là một ứng dụng nhỏ nằm trong phân vùng/system của các thiết bị bị ảnh hưởng. Ứng dụng này hoàn toàn thụ động và chỉ hiển thị trong danh sách các ứng dụng hệ thống trong Settings mà thôi. Chúng tôi thấy dropper này có 2 tên gọi khác nhau 'CrashService' và 'ImeMess'. Dropper này sau đó sẽ kết nối đến một website để tải payload mà hacker muốn cài trên những chiếc điện thoại giá rẻ kia.

"Tập tin XML chứa những thông tin có liên quan các thứ cần tải về, dịch vụ nào cần khởi động, và nó còn chứa một "danh sách trắng" để loại trừ các quốc giá và thiết bị cụ thể khỏi bị ảnh hưởng. Tuy nhiên, chúng tôi chưa bao giờ thấy các quốc gia nằm trong danh sách trắng, và chỉ một vài thiết bị là được đưa vào danh sách này trong các phiên bản ban đầu. Hiện tại, không có quốc gia hay thiết bị nào được loại trừ cả. Toàn bộ URL của Cosiloon được lập trình cứng vào trong tập tin APK.", các chuyên gia của Avast cho hay.

Đáng lưu ý là, dropper là một phần của firmware hệ thống và không thể bị loại bỏ một cách dễ dàng. Theo các chuyên gia này, dropper được cài đặt trước vào đâu đó trong chuỗi cung ứng - bởi nhà sản xuất, OEM hay nhà mạng. Chính vì thế, người dùng không thể loại bỏ được dropper, bởi nó là một ứng dụng hệ thống, một phần của firmware.

Theo PCWorld VN.