September 2024 Malware Vo1dAndroid Open Source Project / AOSP adalah sistem open source yang dipimpin Google. Digunakan pada perangkat mobole, streaming, IoT.
Tetapi ada aktor yang menginfeksi dengan menyebar malware Vo1d.
DrWeb menditeksi 1,3 juta perangkat di 200 negara. Terbesar Brasil, Maroko, Pakistan, Arab Saudi, Rusia, Argentina, Ekuador, Tunisia, Malaysia, Aljazair, dan
Indonesia.
Firmware yang terditeksi adalah versi
Android 7.1.2; R4 Build/NHG47K
Android 12.1; TV BOX Build/NHG47K
Android 10.1; KJ-SMART4KVIP Build/NHG47K
Infeksi dari Install-recovery.sh, daemonsu (berkas debug OS), merupakan skrip Startup di Android.
Ketika perangkat di Boot, disana langsung aktif.
Modul Vo1d.1 akan mengeksekusi Vo1d.3, dapat mendownload malware dan nanti dapat diperintah oleh server C&C secara remote.
Bagian kedua daemon Android.Vo1d.5, ini bagian di enskripsi, dapat mendownload, atau menjalankan file. Termasuk memantau direktori tertentu dan menginstall APK yang ditemukan di dalamnya.
DrWeb tidak mengetahui, bagaimana malware tersebut masuk ke perangkat Streaming.
Google menjelaskan, perangkat merek lain bisa terinfeksi. Dan Android TV yang tidak memiliki sertifikasi Play Protect.
Perangkat Android TV dari laporan DrWeb, tercatat 2% berasal dari Indonesia dari total perangkat yang terditeksi.
Januari 2024 Botnet BigpanziTercatat botnet Bigpanzi menginfeksi 170 ribu Android TV.
Sindikat kejahatan dunia maya sebelumnya tidak dikenal bernama 'Bigpanzi' telah menghasilkan banyak uang dengan menginfeksi Android TV dan dekoder eCos di seluruh dunia setidaknya sejak 2015.
Keamanan
Qianxin di Beijing sendiri menemukan dan melaporkan, kelompok tersebut mengendalikan botnet berskala besar yang terdiri dari sekitar 170.000 bot aktif setiap hari.
Namun, para peneliti telah melihat 1,3 juta alamat IP unik yang terkait dengan botnet sejak Agustus 2023, sebagian besar di Brasil.
Bigpanzi menginfeksi perangkat melalui pembaruan firmware atau aplikasi backdroor yang membuat pengguna tertipu untuk menginstalnya sendiri.
Bigpanzi menyebarkan malware mengunakan teknik
- Dari aplikasi seperti apk movie, video, tv
- User yang mengupdate Firmware atau mendownload aplikasi
Bot mengubah perangkat Android TV menjadi node untuk streaming media ilegal, jaringan proxy, serangan DDoS, dan penyedia konten OTT.
Jenis malware pandoraspear dan pcdn, dua alat yang digunakan Bigpanzi dalam operasinya.
Pandoraspear bertugas membuka sebagai backdoor, membajak DNS, membuka komunikasi dari luar seperti CnC.
Menggunakan teknik canggih seperti shell UPX yang dimodifikasi, link dinamis, kompilasi OLLVM, dan mekanisme anti-debugging menghindari deteksi.
Pcdn yang paling menyebalkan, membukat jaringan distribus konten P2P, juga serangan DDoS.
Penyelusuran besarnya botnet membuat peneliti mencari asal botnet menginfeksi perangkat.
Merek Fonestar dari Brazil terlihat Firmware Android TV Box berasal dari distributor tersebut.
Sampai disebutkan oleh peneliti, mengapa Firmware berasal dari merek Fonestar, tidak diungkap ke publik.
Ini satu kasus dimana penjual atau pihak distributor tidak tahu perangkat mereka terinfeksi dan dijual ke konsumen.
Android TV yang terinfeksi tidak aktif bersamaan, membuat keterbatasan para peneliti mengetahui jumlah pasti.
Selama 8 tahun, Bigpanzi beroperasi diam diam, sekarang peningkatan yang signifikan.
Jaringan ini begitu rumit dan besar, ini mungkin hanya gunung es, yang terlihat kecil.
2023 infeksi ditemukan Dr.Web peneliti keamanan RusiaModel Android TV dengan chip AllWinner dan RockChip banyak mendapat bintang 5.
Tapi beberapa produk ditemukan sudah terinfeksi malware, hal ini dikemukakan oleh peneliti
Dr.Web.
Seperti penipuan Click iklan atau yang paling meresahkan perangkat dijadikan BOT untuk serangan DDoS terkait dengan Mirai bot.
Bagaimana malware masuk, katanya ada 2 cara.
Update FIrmware dari produsen, streaming aplikasi untuk konten gratis.
Jadi hati hati bila anda mencoba aplikasi gratisan yang katanya menyediakan konten premium (bajakan) seperti Netflix, Disney, VIU.
Seperti aplikasi dibawah ini, juga ditemukan untuk smartphone Android, dapat di install ke Android TV.
Terlihat nama aplikasi youcine, magistv, latinatv, dan unitv, sebagian berbahasa Spanyol.
Seperti penemuan sebelumnya, tipe Android TV yang terinfeksi mengunakan Open Source yang gratis.
Tapi dapat dimodifikasi oleh siapapun seperti di folder program Android dibawah ini.
/system/bin/pandoraspearrk
/system/bin/supervisord
/system/bin/s.conf
/system/xbin/busybox
/system/bin/curl
The following files were also found to have been modified:
/system/bin/rootsudaemon.sh
/system/bin/preinstall.sh
/system/bin/supervisord -c /system/bin/s.conf &
Data terbaru disebut botnet Badbox 7 Oktober 2023
80% Produk Android TV dari retail US mencapai 80% terinfeksi malware Badbox..
Produk yang diincar seperti merek (T95, T95Z, T95MAX, X88, Q9, X12PLUS,
MXQ Pro 5G, dan J5-W) .
Dan lebih dari 200 model lain, terditeksi digunakan untuk rumah, bisnis dan sekolah, dan dijual dengan berbagai nama merek lain.
Malware lain disebut Peachpit.
Bersembunyi untuk iklan di dalam aplikasi.
Sekitar 39 app Andrpid, iOS dan aplikasi TV telah terditeksi.
Aktifkan Play Protect
Buka Play Store, Profile, Setting. lalu lihat di bagian About
Bila tidak ada sertifikasi, mungkin perangkat tidak aman.
Solusinya mudah, tinggal di install aplikasi Antivirus di Android TV, dan periksa menyeluruh.
Mei 2023 Android TVMalware BianLian ditemukan di perangkat Android TV tahun 2022.
Ditemukan peneliti Daniel Milisic, dan malware tersebut terkait Botnet.
Malware BianLian sudah lama terditeksi, setidaknya tahun 2019 untuk perangkat Android. Smartphone Android sebagai target pencurian data banking
Di perangkat PC menjadi Ransomware, mengunci data storage. Avast telah merilis deskripsi Ransomware ini gratis
Untuk perangkat Android, peneliti keamanan melihat ada data keluar yang tidak biasa, seperti melakukan remote C&C. Ciri dari malware BianLian terbaru.
Malware telah di install di perangkat Android TV Box dengan procesor AllWinner T95, AllWinner T95Max, RockChip X12-Plus, atau RockChip X88-Pro-10.
Produk dijual via Amazon, tapi tidak dilakukan pemeriksaan.
Ditemukan port ADB juga terbuka default.
Seharusnya pihak marketplace seperti Amazon memeriksa terlebih dahulu, sebelum memasang produk di toko online mereka.
Tapi itu menjadi masalah ketika sebuah toko online raksasa harus memeriksa hal yang tidak penting untuk mereka sendiri.
Lengkap di ulas
Malwarebyte labs
Port ADB aktif terbuka
Melihat trafik data
Mengunakan Launcher dengan nama com.swe.dgbluancher, mengunakan port 443 HTTPS
Periksa di folder
/data/system/Corejava
Atau nama file /data/system/shared_prefs/open_preference.xml
Bila perangkat disusup malware, akan kontan mencoba mencari server atau terlihat aktif, mengirim telemetry dan menunggu perintah tanpa ijin.
http://adc.flyermobi.com/update/update.conf
Berisi IP server 128.199.98.77 (sudah offline).
Menangani, Factory Reset di Android TV T95, tanpa koneksi internet. Keluarkan aplikasi Launcher dgbluancher, dan bersihan Core Java Adups
Info
github.com/DesktopECHO/T95-H616-MalwareTampilan layar juga berbeda dengan standar Android TV.
Beberapa nama produsen - aman dari data Google
1und1 DE
Aconatic
Aiwa
Akino
ANAM
Anker
Arrow Modern Future Company
ASANZO
Asus
Ayonz
Bauhn
BenQ
Binge
Blaupunkt
BOE Technology Group Co., Ltd.
Casper
CG
Changhong
Chimei
CHiQ
Condor Electronics
Dish TV
DW SUMMUS
Eko
Elsys
Ematic
Engel
ENGLAON TELEVISION
|
ENTV
EPSON
ERGO
ESTLA
Evvoli
Flipkart
Formovie
Foxconn
Foxtel
FPT Play
Funai
Globe Telecom
Haier
Hansung
Hisense
HORIZON
iFFalcon
INFINITON
Infinix
infomir
Innos
Iriver
Itel
JBL
Jooyon
JVC
KIVI
KODAK
Kogan.com
KOODA
|
KTC
Linsar
LUCOMS
Marcel
MarQ
Mediabox
Micromax
Motorola
MyBox
Nokia
NVIDIA
OnePlus
Orange
Panasonic
Philips
PIXELA
Polaroid
PRISM Korea
RCA
RFL Electronics Ltd
Robi Axiata Limited
Sanyo
Sceptre Inc.
Seiki
SFR
Sharp Corporation
Singer Bangladesh Limited
Skyworth
|
SMARTEVER
SONIQ Australia
Sony
Stream System
Syinix
T-Mobile Polska S.A
TCL
TESLA
theham
THOMSON
TOSHIBA
TPV (Philips EMEA)
Truvii
Turbo-X
UMAX
Vestel (Toshiba EU)
Videostrong
VinSmart
Vista Electronics Ltd.
Vu Televisions
Walton
Witooth
XGIMI Technology
Xiaomi
Youin
|
2020 Desember GioneeMerek smartphone Gionee melaporkan 20 juta smartphone yang dijual Des 2018 - Okt 2019 terinfeksi Trojan.
Smartphone muncul iklan yang menguntungkan pembuat malware.
App Story Lock Screen dapat update otomatis. Disana malware yang tersembunyi melakukan tayangan iklan ke smartphone Gionee.
Perusahaan Gionee dikenakan denda karena tidak memberi peringatan ke pada penguna.
2019 Januari malware CosiloonDitemukan malware Preinstall di beberapa smartphone Alcatel, termasuk di layanan download Alcatel sendiri.
Aplikasi
Android Weather Forecast-World Weather Accurate Radar dikembangkan oleh
TCL pabrik pembuat smartphone Alcatel, Palm dan Blackberry.
Menjadi salah satu aplikasi standar Pre-install setiap smartphone Alcatel dan terdapat di Play Store.
Sampai
diketahui malware sudah di install ke smartphone, dan di Play Store.
Tapi tidak tahu bagaimana malware menginfeksi di aplikasi dari pabrik.
Infeksi diketahui ketika perusahaan Upstream security Inggris menemukan suspek dari trafik di beberapa smartphone pelanggannya.
Dan ada data yang dikirim ke server china. Mengambil data lokasi, alamat email, nomor IMEI.
Upstream
membuka code malware, terkait ada aplikasi yang tersembunyi dan
mengarahkan user menjadi member premium phone yang mungkin akan
dibebankan ke tagihan telepon.
Aplikasi
cuaca Weather Forecast-World Weather Accurate Radar bekerja secara
background. Tercatat aplikasi mengambil data internet antara 50-250MB
perhari tanpa diketahui pemiliknya.
Model Alcatel Pixi 4 dan A3 Max sejauh ini diketahui terinfeksi malware dari pabrik.
Google menghapus aplikasi com.tct.weather dari Play Store setelah Upstream mengirim surat ke Google tentang aplikasi malware.
2018 Mei malware CosiloonBila anda membeli smartphone murah, ada baiknya menginstall antivirus terlebih dahulu.
Avast
melaporkan beberapa model termasuk model favorit di kelas smartphone
budget merek ZTE dan Archos. Membawa malware dari pabrikan.
Walau
disebut memiliki model yang sama, tetapi tidak semua terinfeksi
malware. Target malware adalah smartphone dengan procesor Mediatek di
kelas budget.
Kebanyakan smartphone terinstall OS dan paket aplikasi tapi tidak di sertifikasi oleh Google.
Malware yang terditeksi ada di dalam game Free Online Puzzles, dan tidak dapat di install.
Menginfeksi
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Serv
Satu aplikasi bersembunyi dengan nama Goolge Contacts. April 2018 aplikasi Launcher berganti nama menjadi Google Download.
Sekitar 100 negara, termasuk Rusia, Jerman, Inggris dan beberapa penguna di Amerika terditeksi oleh
Avast.
Memeriks smartphone terkait malware, dapat dilakukan dengan menginstall antivirus.
2018 MaretPeneliti keamanan Dr.
Web melaporkan
43 model smartphone telah terinfeksi malware Trojan Android.Triada.231.
Telah menginfeksi beberapa model smartphone sejak tahun 2017.
Memiliki ciri seperti trojan Android.MulDrop.924. Yang ditemukan tahun 2016.
Trojan tersebut adalah trojan untuk mencuri data banking. Sudah ada di dalam smartphone murah.
Trojan dapat aktif dengan sendirinya, dan menjalankan aplikasi tanpa ijin penguna.
Trojan
disusup di dalam Libandroid_runtime sebagai sistem pustaka OS
smartphone. Mereka tidak dapat diganggu seperti program trojan yang
dibuat terpisah.
Dibawah ini model beberapa smartphone yang diketahui membawa trojan Triada 231. Dan dapat terditeksi oleh antivirus smartphone.
Leagoo
M5, Leagoo M5 Plus, Leagoo M5 Edge, Leagoo M8, Leagoo M8 Pro, Leagoo
Z5C, Leagoo T1 Plus, Leagoo Z3C, Leagoo Z1C, Leagoo M9, ARK Benefit M8,
Zopo Speed 7 Plus, UHANS A101, Doogee X5 Max, Doogee X5 Max Pro, Doogee
Shoot 1, Doogee Shoot 2, Tecno W2, Homtom HT16, Umi London, Kiano
Elegance 5.1, iLife Fivo Lite, Mito A39, Vertex Impress InTouch 4G,
Vertex Impress Genius, myPhone Hammer Energy,
Advan S5E NXT, Advan S4Z, Advan i5E,
STF AERIAL PLUS, STF JOY PRO, Tesla SP6.2, Cubot Rainbow, EXTREME 7,
Haier T51, Cherry Mobile Flare S5, Cherry Mobile Flare J2S, Cherry
Mobile Flare P1, NOA H6, Pelitt T1 PLUS, Prestigio Grace M5 LTE, BQ-5510
Strike Power Max 4G (Russia)
2014 JunSerangan
malware meningkat sejak tahun 2014. Salah satunya smartphone buatan
Tiongkok yang dikirim dari pabrik dan sudah terinfeksi malware.
Merek Star N9500 adalah cloning Galaxy S4 yang populer di Tiongkok. Dari pabriknya sudah dimasukan malware.
Entah
sengaja atau tidak, di dalam smartphone sudah terinfeksi malware
Uupay.D. Trojan ini menyamar di dalam layanan Google Play.
Tugasnya
mengumpulkan data dari perangkat. Bahkan bisa merekam pembicaraan
percakapan, microphone dapat di remote dari jauh, bahkan dapat mengirim
SMS ke layanan premium.
Dari media Jerman Heise melaporkan penemuan G Data. Ini adalah smartphone pertama yang terinfeksi dari pabriknya.
Masalah
kedua, trojan di dalam tidak mudah dihapus begitu saja. Karena sudah
termasuk di dalam Firmware smartphone. Satu satunya jalan untuk
menghapus malware adalah memflash ROM dari perangkat lain yang bersih.
Setidaknya penguna harus mengerti cara mengunakan teknik ROOT dan
melakukan Flash firmware.
Satu
member dari Xda-Developer mengatakan menemukan hal yang sama di
smartphone merek iNew i7000. Ada baiknya penguna smartphone menghindari
merek yang tidak jelas, terlebih harga relatif murah, atau versi
smartphone Cloning / tiruan.