Avastの脅威研究所は25日、ZTE、Archos、myPhoneといったメーカーが提供する数百種類ものAndroidベースのデバイスおよびバージョンに、アドウェアがプリインストールされていることがわかったと発表した。

アドウェアは「Cosillon」と呼ばれ、ファームウェア内に存在し、ブラウザ内のWebページにオーバーレイ広告を作成する。プリインストールが確認されたデバイスの大半はGoogleによる認証を取得していないもの。強力な難読化技術が用いられているため、除去は困難で、デバイスメーカーはおそらくその存在を知らないまま出荷してしまったのだろうとしている。過去1カ月のあいだだけでも、アメリカ、ロシア、イタリア、ドイツ、イギリスなど、100カ国以上の約18,000台のAvastユーザーのデバイスで発見されている。

Avast製品はペイロードの検知、アンインストールが可能だが、ドロッパーはまたすぐにペイロードをインストールしてしまう。また、ドロッパーはファームウェア内にあるため、削除はできず、デバイスメーカーが対策する必要がある。

Cosiloonペイロードのコントロールサーバーは更新され続けている状態であるといい、Avastが最初に報告したプロバイダのZenLayerはすぐに無効化したものの、その後しばらくして別のプロバイダを用いて復旧されてしまったという。一方でドメインのレジストラはAvastの要請に応じなかった。

サードパーティーのアンチウイルスソフトが削除できない一方で、ユーザーは設定→アプリの画面のなかで「CrashService」、「ImeMess」、または「Terminal」と名付けられたドロッパーを見つけ、無効化することは可能。この作業を行なえばドロッパーは非アクティブとなり、ペイロードが復活することはない。

また、Avastはこの問題をGoogleに報告し、Google Play ProtectがCosillonを検出するようになったため、最新版ペイロードに感染しているデバイスの数は減少しているという。