Android TV terinstall malware dari pabrik tanpa Play Protect malware Vo1d

   Security | 12 May 2023


September 2024 Malware Vo1d
Android Open Source Project / AOSP adalah sistem open source yang dipimpin Google. Digunakan pada perangkat mobole, streaming, IoT.
Tetapi ada aktor yang menginfeksi dengan menyebar malware Vo1d.
DrWeb menditeksi 1,3 juta perangkat di 200 negara. Terbesar Brasil, Maroko, Pakistan, Arab Saudi, Rusia, Argentina, Ekuador, Tunisia, Malaysia, Aljazair, dan Indonesia.

Firmware yang terditeksi adalah versi
Android 7.1.2; R4 Build/NHG47K
Android 12.1; TV BOX Build/NHG47K
Android 10.1; KJ-SMART4KVIP Build/NHG47K

Infeksi dari Install-recovery.sh, daemonsu (berkas debug OS), merupakan skrip Startup di Android.
Ketika perangkat di Boot, disana langsung aktif.
Modul Vo1d.1  akan mengeksekusi Vo1d.3, dapat mendownload malware dan nanti dapat diperintah oleh server C&C secara remote.
Bagian kedua daemon Android.Vo1d.5, ini bagian di enskripsi, dapat mendownload, atau menjalankan file. Termasuk memantau direktori tertentu dan menginstall APK yang ditemukan di dalamnya.


DrWeb tidak mengetahui, bagaimana malware tersebut masuk ke perangkat Streaming.
Google menjelaskan, perangkat merek lain bisa terinfeksi. Dan Android TV yang tidak memiliki sertifikasi Play Protect.
Perangkat Android TV dari laporan DrWeb, tercatat 2% berasal dari Indonesia dari total perangkat yang terditeksi.


Januari 2024 Botnet Bigpanzi
Tercatat botnet Bigpanzi menginfeksi 170 ribu Android TV.

Sindikat kejahatan dunia maya sebelumnya tidak dikenal bernama 'Bigpanzi' telah menghasilkan banyak uang dengan menginfeksi Android TV dan dekoder eCos di seluruh dunia setidaknya sejak 2015.


Keamanan Qianxin di Beijing sendiri menemukan dan melaporkan, kelompok tersebut mengendalikan botnet berskala besar yang terdiri dari sekitar 170.000 bot aktif setiap hari.
Namun, para peneliti telah melihat 1,3 juta alamat IP unik yang terkait dengan botnet sejak Agustus 2023, sebagian besar di Brasil.

Bigpanzi menginfeksi perangkat melalui pembaruan firmware atau aplikasi backdroor yang membuat pengguna tertipu untuk menginstalnya sendiri.
Bigpanzi menyebarkan malware mengunakan teknik
- Dari aplikasi seperti apk movie, video, tv
- User yang mengupdate Firmware atau mendownload aplikasi

Bot mengubah perangkat Android TV menjadi node untuk streaming media ilegal, jaringan proxy, serangan DDoS, dan penyedia konten OTT.

Jenis malware pandoraspear dan pcdn, dua alat yang digunakan Bigpanzi dalam operasinya.
Pandoraspear bertugas membuka sebagai backdoor, membajak DNS, membuka komunikasi dari luar seperti CnC.
Menggunakan teknik canggih seperti shell UPX yang dimodifikasi, link dinamis, kompilasi OLLVM, dan mekanisme anti-debugging menghindari deteksi.
Pcdn yang paling menyebalkan, membukat jaringan distribus konten P2P, juga serangan DDoS.

Penyelusuran besarnya botnet membuat peneliti mencari asal botnet menginfeksi perangkat.
Merek Fonestar dari Brazil terlihat Firmware Android TV Box berasal dari distributor tersebut.
Sampai disebutkan oleh peneliti, mengapa Firmware berasal dari merek  Fonestar, tidak diungkap ke publik.
Ini satu kasus dimana penjual atau pihak distributor tidak tahu perangkat mereka terinfeksi dan dijual ke konsumen.


Android TV Fonestar terinfeksi malware dari distributor


Android TV yang terinfeksi tidak aktif bersamaan, membuat keterbatasan para peneliti mengetahui jumlah pasti.
Selama 8 tahun, Bigpanzi beroperasi diam diam, sekarang peningkatan yang signifikan.
Jaringan ini begitu rumit dan besar, ini mungkin hanya gunung es, yang terlihat kecil.

2023 infeksi ditemukan Dr.Web peneliti keamanan Rusia
Model Android TV dengan chip AllWinner dan RockChip banyak mendapat bintang 5.

Tapi beberapa produk ditemukan sudah terinfeksi malware, hal ini dikemukakan oleh peneliti Dr.Web.
Seperti penipuan Click iklan atau yang paling meresahkan perangkat dijadikan BOT untuk serangan DDoS terkait dengan Mirai bot.

Bagaimana malware masuk, katanya ada 2 cara.
Update FIrmware dari produsen, streaming aplikasi untuk konten gratis.
Jadi hati hati bila anda mencoba aplikasi gratisan yang katanya menyediakan konten premium (bajakan) seperti Netflix, Disney, VIU.

Seperti aplikasi dibawah ini, juga ditemukan untuk smartphone Android, dapat di install ke Android TV.
Terlihat nama aplikasi youcine, magistv, latinatv, dan unitv, sebagian berbahasa Spanyol.


Android TV infect malware from OTT Streaming App

Seperti penemuan sebelumnya, tipe Android TV yang terinfeksi mengunakan Open Source yang gratis.
Tapi dapat dimodifikasi oleh siapapun seperti di folder program Android dibawah ini.
/system/bin/pandoraspearrk
/system/bin/supervisord
/system/bin/s.conf
/system/xbin/busybox
/system/bin/curl

The following files were also found to have been modified:
/system/bin/rootsudaemon.sh
/system/bin/preinstall.sh
/system/bin/supervisord -c /system/bin/s.conf &


Data terbaru disebut botnet Badbox 7 Oktober 2023
80% Produk Android TV dari retail US mencapai 80% terinfeksi malware Badbox..
Produk yang diincar seperti merek (T95, T95Z, T95MAX, X88, Q9, X12PLUS, MXQ Pro 5G, dan J5-W) .
Dan lebih dari 200 model lain, terditeksi digunakan untuk rumah, bisnis dan sekolah, dan dijual dengan berbagai nama merek lain.

Malware lain disebut Peachpit.
Bersembunyi untuk iklan di dalam aplikasi.
Sekitar 39 app Andrpid, iOS dan aplikasi TV telah terditeksi.

Aktifkan Play Protect
Buka Play Store, Profile, Setting. lalu lihat di bagian About
Bila tidak ada sertifikasi, mungkin perangkat tidak aman.

Solusinya mudah, tinggal di install aplikasi Antivirus di Android TV, dan periksa menyeluruh.

Mei 2023 Android TV
Malware BianLian ditemukan di perangkat Android TV tahun 2022.
Ditemukan peneliti Daniel Milisic, dan malware tersebut terkait Botnet.

Malware BianLian sudah lama terditeksi, setidaknya tahun 2019 untuk perangkat Android. Smartphone Android sebagai target pencurian data banking
Di perangkat PC menjadi Ransomware, mengunci data storage. Avast telah merilis deskripsi Ransomware ini gratis
Untuk perangkat Android, peneliti keamanan melihat ada data keluar yang tidak biasa, seperti melakukan remote C&C. Ciri dari malware BianLian terbaru.

Malware telah di install di perangkat Android TV Box dengan procesor AllWinner T95, AllWinner T95Max, RockChip X12-Plus, atau RockChip X88-Pro-10.

Produk dijual via Amazon, tapi tidak dilakukan pemeriksaan.
Ditemukan port ADB juga terbuka default.

Seharusnya pihak marketplace seperti Amazon memeriksa terlebih dahulu, sebelum memasang produk di toko online mereka.
Tapi itu menjadi masalah ketika sebuah toko online raksasa harus memeriksa hal yang tidak penting untuk mereka sendiri.

Lengkap di ulas Malwarebyte labs
Port ADB aktif terbuka
Melihat trafik data
Mengunakan Launcher dengan nama com.swe.dgbluancher, mengunakan port 443 HTTPS

Periksa di folder
/data/system/Corejava
Atau nama file /data/system/shared_prefs/open_preference.xml
Bila perangkat disusup malware, akan kontan mencoba mencari server atau terlihat aktif, mengirim telemetry dan menunggu perintah tanpa ijin.

http://adc.flyermobi.com/update/update.conf
Berisi IP server 128.199.98.77 (sudah offline).

Menangani, Factory Reset di Android TV T95, tanpa koneksi internet. Keluarkan aplikasi Launcher dgbluancher, dan bersihan Core Java Adups
Info github.com/DesktopECHO/T95-H616-Malware

Tampilan layar juga berbeda dengan standar Android TV.

beware Android TV T95 infect BianLian malware

Beberapa nama produsen - aman dari data Google

1und1 DE
Aconatic
Aiwa
Akino
ANAM
Anker
Arrow Modern Future Company
ASANZO
Asus
Ayonz
Bauhn
BenQ
Binge
Blaupunkt
BOE Technology Group Co., Ltd.
Casper
CG
Changhong
Chimei
CHiQ
Condor Electronics
Dish TV
DW SUMMUS
Eko
Elsys
Ematic

Engel
ENGLAON TELEVISION
ENTV
EPSON
ERGO
ESTLA
Evvoli
Flipkart
Formovie
Foxconn
Foxtel
FPT Play
Funai
Globe Telecom
Haier
Hansung
Hisense
HORIZON
iFFalcon
INFINITON
Infinix
infomir
Innos
Iriver
Itel
JBL
Jooyon
JVC
KIVI
KODAK
Kogan.com
KOODA
KTC
Linsar
LUCOMS
Marcel
MarQ
Mediabox
Micromax
Motorola
MyBox
Nokia
NVIDIA
OnePlus
Orange
Panasonic
Philips
PIXELA
Polaroid
PRISM Korea
RCA
RFL Electronics Ltd
Robi Axiata Limited
Sanyo
Sceptre Inc.
Seiki
SFR
Sharp Corporation
Singer Bangladesh Limited
Skyworth
SMARTEVER
SONIQ Australia
Sony
Stream System
Syinix
T-Mobile Polska S.A
TCL
TESLA
theham
THOMSON
TOSHIBA
TPV (Philips EMEA)
Truvii
Turbo-X
UMAX
Vestel (Toshiba EU)
Videostrong
VinSmart
Vista Electronics Ltd.
Vu Televisions
Walton
Witooth
XGIMI Technology
Xiaomi
Youin

2020 Desember Gionee
Merek smartphone Gionee melaporkan 20 juta smartphone yang dijual Des 2018 - Okt 2019 terinfeksi Trojan.
Smartphone muncul iklan yang menguntungkan pembuat malware.
App Story Lock Screen dapat update otomatis. Disana malware yang tersembunyi melakukan tayangan iklan ke smartphone Gionee.
Perusahaan Gionee dikenakan denda karena tidak memberi peringatan ke pada penguna.

2019 Januari malware Cosiloon
Ditemukan malware Preinstall di beberapa smartphone Alcatel, termasuk di layanan download Alcatel sendiri.

Aplikasi Android Weather Forecast-World Weather Accurate Radar dikembangkan oleh TCL pabrik pembuat smartphone Alcatel, Palm  dan Blackberry.
Menjadi salah satu aplikasi standar Pre-install setiap smartphone Alcatel dan terdapat di Play Store.

Sampai diketahui malware sudah di install ke smartphone, dan di Play Store. Tapi tidak tahu bagaimana malware menginfeksi di aplikasi dari pabrik.
Infeksi diketahui ketika perusahaan Upstream security Inggris menemukan suspek dari trafik di beberapa smartphone pelanggannya.

Dan ada data yang dikirim ke server china. Mengambil data lokasi, alamat email, nomor IMEI.
Upstream membuka code malware, terkait ada aplikasi yang tersembunyi dan mengarahkan user menjadi member premium phone yang mungkin akan dibebankan ke tagihan telepon.
Aplikasi cuaca Weather Forecast-World Weather Accurate Radar bekerja secara background. Tercatat aplikasi mengambil data internet antara 50-250MB perhari tanpa diketahui pemiliknya.
Model Alcatel Pixi 4 dan A3 Max sejauh ini diketahui terinfeksi malware dari pabrik.
Google menghapus aplikasi com.tct.weather dari Play Store setelah Upstream mengirim surat ke Google tentang aplikasi malware.

2018 Mei malware Cosiloon
Bila anda membeli smartphone murah, ada baiknya menginstall antivirus terlebih dahulu.
Avast melaporkan beberapa model termasuk model favorit di kelas smartphone budget merek ZTE dan Archos. Membawa malware dari pabrikan.
Walau disebut memiliki model yang sama, tetapi tidak semua terinfeksi malware. Target malware adalah smartphone dengan procesor Mediatek di kelas budget.

Kebanyakan smartphone terinstall OS dan paket aplikasi tapi tidak di sertifikasi oleh Google.
Malware yang terditeksi ada di dalam game Free Online Puzzles, dan tidak dapat di install.
Menginfeksi
  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Serv

Satu aplikasi bersembunyi dengan nama Goolge Contacts. April 2018 aplikasi Launcher berganti nama menjadi Google Download.

Sekitar 100 negara, termasuk Rusia, Jerman, Inggris dan beberapa penguna di Amerika terditeksi oleh Avast.
Memeriks smartphone terkait malware, dapat dilakukan dengan menginstall antivirus.

2018 Maret
Peneliti keamanan Dr.Web melaporkan 43 model smartphone telah terinfeksi malware Trojan Android.Triada.231. Telah menginfeksi beberapa model smartphone sejak tahun 2017.
Memiliki ciri seperti trojan Android.MulDrop.924. Yang ditemukan tahun 2016.

Trojan tersebut adalah trojan untuk mencuri data banking. Sudah ada di dalam smartphone murah.

Trojan dapat aktif dengan sendirinya, dan menjalankan aplikasi tanpa ijin penguna.
Trojan disusup di dalam Libandroid_runtime sebagai sistem pustaka OS smartphone. Mereka tidak dapat diganggu seperti program trojan yang dibuat terpisah.

Dibawah ini model beberapa smartphone yang diketahui membawa trojan Triada 231. Dan dapat terditeksi oleh antivirus smartphone.
Leagoo M5, Leagoo M5 Plus, Leagoo M5 Edge, Leagoo M8, Leagoo M8 Pro, Leagoo Z5C, Leagoo T1 Plus, Leagoo Z3C, Leagoo Z1C, Leagoo M9, ARK Benefit M8, Zopo Speed 7 Plus, UHANS A101, Doogee X5 Max, Doogee X5 Max Pro, Doogee Shoot 1, Doogee Shoot 2, Tecno W2, Homtom HT16, Umi London, Kiano Elegance 5.1, iLife Fivo Lite, Mito A39, Vertex Impress InTouch 4G, Vertex Impress Genius, myPhone Hammer Energy, Advan S5E NXT, Advan S4Z, Advan i5E, STF AERIAL PLUS, STF JOY PRO, Tesla SP6.2, Cubot Rainbow, EXTREME 7, Haier T51, Cherry Mobile Flare S5, Cherry Mobile Flare J2S, Cherry Mobile Flare P1, NOA H6, Pelitt T1 PLUS, Prestigio Grace M5 LTE, BQ-5510 Strike Power Max 4G (Russia)


2014 Jun
Serangan malware meningkat sejak tahun 2014. Salah satunya smartphone buatan Tiongkok yang dikirim dari pabrik dan sudah terinfeksi malware.

Merek Star N9500 adalah cloning Galaxy S4 yang populer di Tiongkok. Dari pabriknya sudah dimasukan malware.

Entah sengaja atau tidak, di dalam smartphone sudah terinfeksi malware Uupay.D. Trojan ini menyamar di dalam layanan Google Play.

Tugasnya mengumpulkan data dari perangkat. Bahkan bisa merekam pembicaraan percakapan, microphone dapat di remote dari jauh, bahkan dapat mengirim SMS ke layanan premium.

Dari media Jerman Heise melaporkan penemuan G Data. Ini adalah smartphone pertama yang terinfeksi dari pabriknya.

Masalah kedua, trojan di dalam tidak mudah dihapus begitu saja. Karena sudah termasuk di dalam Firmware smartphone. Satu satunya jalan untuk menghapus malware adalah memflash ROM dari perangkat lain yang bersih. Setidaknya penguna harus mengerti cara mengunakan teknik ROOT dan melakukan Flash firmware.

Satu member dari Xda-Developer mengatakan menemukan hal yang sama di smartphone merek iNew i7000. Ada baiknya penguna smartphone menghindari merek yang tidak jelas, terlebih harga relatif murah, atau versi smartphone Cloning / tiruan.




Artikel Lain

Apakah perlu Android TV diperiksa dengan Antivirus. Android TV Box harga hemat kadang mencurigakan, karena tidak ada sertifikasi Play Protect. Kita dapat memeriksa 1 kali saja, untuk memastikan perangkat Android aman dari malware.

Google Android TV 14 tahun 2024 perluasan dengan Smart Home app, tayangan Sport, 150 kanal TV. Google TV 13, 32-128GB internal memory. Perusahaan perangkat dan pengembang diminta membuat berbasis AAB yang lebih kecil. Ada perbedaan antara Android TV vs desain baru Google TV.

Install Windows dan Office versi 10 hati hati mencari di jaringan P2P, satu grup Windows terinfeksi malware kripto. Infeksi masuk ke EFI, di awal Windows di Install. Program dapat berpindah dengan 3 bagian, dari tugas infeksi, mengambil malware dan mengeksekusi.

Malware Azov bekerja sangat pintar. Bila sudah terkena ransomeware, sulit terditeksi, file terinfeksi dapat mengeksekusi dirinya sendiri. Dan kode yang digunakan berubah - ubah. November 2022 terditeksi 17 ribu file yang terinfeksi Azov di periksa dengan Virustotal

Desember 2021 terditeksi aktivasi KMSPico untuk meniru keaslian Windows telah diinfeksi malware Cyrpto Wallet. Hampir semua browser dapat di monitor dan diambil data oleh malware. Disarankan mengambil dari sumber asli pembuat.

Varian Mirai dengan malware InfectedSlurs mencari kelemahan perangkat NVR dan LAN Router Okt 2023. Penguna WIFI Router Archer AX21 update firmware, perangkat merek lain berdampak. Analisa baru infeksi ada di perangkat jaringan terhubung ke LAN Ethernet. Indonesia sarang Botnet, tercatat Cloudflare Agustus, Yandex bulan September.

Periksa RAR dan ZIP bila di password, sengaja di sembunyikan. Cara memeriksa file online file App Android atau program Windows. Dapat memeriksa ukuran file 650MB (2023). 4 layanan dapat digunakan memeriksa apakah file terinfeksi dan menganggu computer OS Windows. Tahun 2023, tambahan pemeriksaan Cyber Threat Intelligence (CTI) dengan IP Criminal.

MosaicLoader malware tidak memiliki target, hanya menginfeksi computer dan memasukan backdoor. Menargetkan PC yang mencari program versi petani. Meminta di nonaktifkan antivirus dan penyebaran iklan internet. BitDefender mengatakan ada tujuan lain. Mereka seperti mengumpulkan infeksi sebanyak mungkin.

RDP - Remote Desktop Protocol adalah satu fitur di Windows ketika seseorang ingin melakukan remote computer dari computer lain. Tapi hati hati di bulan Mei 2020 ada yang sedang mengumpulkan dengan menginfeksi computer dengan malware Sarwen. Bagaimana menonaktifkan RDP di Windows.

Periksa perangkat sudah tersedia via online web Bullguard. Bukan computer atau smartphone disusup CCTV, terakhir Router. Banyak perangkat mengunakan password Default. Serangan di Windows dan Android. Hajime bot IOT tidak diketahui apa tujuannya, infeksi 300 ribu perangkat



Youtube Obengplus


Trend