Rabu, 11 November 2015

FENOMENA MALWARE DI ANDROID : GHOST PUSH / MONKEYTEST / TIMESERVICE


StandardBeberapa hari yang lalu, saya dikejutkan oleh 2 orang sekaligus oleh adanya malware / virus di Android. Pertama saat saya di kantor, salah seorang rekan kerja bilang kalau android nya error, muncul notifikasi Monkey Test terus. Lalu sore nya, saat saya pulang kerja, kakak keponakan saya juga mengeluhkan hal yang sama. Fenomena apakah ini?

Jadi ceritanya begini bro, saat itu rekan kerja saya langsung menunjukkan ponselnya: Lenovo A850 yang katanya terkena virus itu. Karena saya sejak 2011 pakai Android dan belum pernah menemukan virus, makanya saya heran.
Setelah saya cek, ternyata memang benar bro. Tapi saya ragu, apakah itu virus atau malware atau apapun itu namanya. Jadi setiap kali internet aktif, pasti muncul beberapa notifikasi, seperti Monkey Test has stopped, lalu ada pula Adobe Air has stopped, terus Time Service has stopped, dll.
Lalu saya bilang, oke, dipakai aja dulu, nanti setelah jam pulang main aja ke rumah saya, ntar kita cek lebih mendalam.
Sorenya, saya pulang ke rumah dan ternyata sudah menanti kakak keponakan saya membawa ponselnya yaitu Smartfren Andromax Z. Anehnya, keluhannya sama dengan rekan kerja saya. Dan lebih parah, punya kakak saya malah secara otomatis menginstall aplikasi seperti LEO Privacy, Olala, Hola Launcher dan Clean Master.
Setiap kali saya mencoba menghapusnya, setelah HH di restart, pasti aplikasi tersebut muncul lagi. Akhirnya saya cek di system/app, ternyata ada beberapa file yang mencurigakan. Inilah file tersebut :
IMG_20150928_172342
Saya menemukan keanehan dari permission app tersebut. Setiap kali saya menghapusnya, setelah restart, aplikasi tersebut akan muncul lagi.
Akhirnya saya putar otak dan menemukan solusi tepat untuk masalah ini, yaitu dengan flash ulang dan wipe everything.Ternyata cara ini ampuh banget dalam mengatasi masalah Monkey Test ini dan sampai sekarang ponsel kakak keponakan saya adem ayem dan tenterem :)
Beberapa saat kemudian, muncul deh masalah baru, hehehe. Rekan kerja saya datang ke rumah dengan membawa permasalahan yang sama. Dan yang bikin tambah masalah adalah, dia tidak mau ponselnya di flash ulang, karena katanya dia lupa email nya semua, baik GMail, BBM, dll. Dia takut contact BBM nya hilang.
Saya pun browsing sana-sini tidak menemukan solusi. Akhirnya saya memaksa untuk melakukan rooting pada ponselnya dan memasang aplikasi Titanium Backup.
Ternyata cara ini juga cukup ampuh bro. Caranya adalah freezeaja setiap kali ada aplikasi yang mencurigakan dan membuat error, jadi sampai sekarang, rekan kerja saya itu pun tidak mengeluh adanya error lagi.
Lalu kemarin browsing di salah satu website, ternyata itu disebut dengan Ghost Push Malware. Kira-kira cara kerjanya seperti ini :
Sampai saat ini, menurut website tersebut, malware ini hanya menyerang di chipset MTK dan chipset milik Samsung. Jadi mereka belum menemukan chipset Snapdragon yang terserang malware Ghost Push ini.
Lalu saya iseng jalan-jalan ke XDA, ternyata ada pula yang terserang malware ini. Dan ternyata ada solusinya, caranya begini:
  1. Hidupkan USB Debugging di HH
  2. Pastikan sudah menginstall driver ADB di PC
  3. Pastikan HH sudah di root
  4. Tancapkan HH ke PC
  5. Masuk ke CommandPrompt dengan akses ADB
  6. ketik su enter
  7. Lalu ketik ps | grep .base enter
  8. Dan ketik pula kill pid enter
Setelah itu, untuk menghapus malware dengan file .bin, caranya :
Ketik semuanya di CMD
mount -o remount rw /system #different system may use different command
chattr –ia /system/xbin/.ext.base
chattr –ia /system/xbin/.bat.base
chattr –ia /system/xbin/.zip.base
chattr –ia /system/xbin/.word.base
chattr –ia /system/xbin/.look.base
chattr –ia /system/xbin/.like.base
chattr –ia /system/xbin/.view.base
chattr –ia /system/xbin/.must.base
chattr –ia /system/xbin/.team.base
chattr –ia /system/xbin/.type.base
chattr –ia /system/xbin/.b
chattr –ia /system/xbin/.sys.apk
chattr –ia /system/xbin/.df
chattr –ia /system/bin/daemonuis
chattr –ia /system/bin/uis
chattr –ia /system/bin/debuggerd
chattr –ia /system/bin/nis
chattr –ia /system/bin/daemonnis
chattr –ia /system/bin/.daemon/nis
chattr –ia /system/bin/uis
chattr –ia /system/bin/.sr/nis
chattr –ia /system/bin/mis
chattr –ia /system/bin/daemonmis
chattr –ia /system/bin/.daemon/mis
chattr –ia /system/bin/.sc/mis
rm /system/xbin/.ext.base
rm /system/xbin/.bat.base
rm /system/xbin/.zip.base
rm /system/xbin/.word.base
rm /system/xbin/.look.base
rm /system/xbin/.like.base
rm /system/xbin/.view.base
rm /system/xbin/.must.base
rm /system/xbin/.team.base
rm /system/xbin/.type.base
rm /system/xbin/.b
rm /system/xbin/.sys.apk
rm /system/xbin/.df
rm /system/bin/daemonuis
rm /system/bin/uis
rm /system/bin/debuggerd
rm /system/bin/nis
rm /system/bin/daemonnis
rm /system/bin/.daemon/nis
rm /system/bin/uis
rm /system/bin/.sr/nis
rm /system/bin/mis
rm /system/bin/daemonmis
rm /system/bin/.daemon/mis
rm /system/bin/.sc/mis
cp /system/bin/debuggerd_test /system/bin/debuggerd
Bila virus masih bandel, coba ketikkan ini :
chattr –ia /system/priv-app/cameraupdate.apk
chattr –ia /system/priv-app/com.android.wp.net.log.apk
rm -rf /data/data/com.android.camera.update
rm -rf /data/data/com.android.wp.net.log
rm /systam/priv-app/cameraupdate.apk
rm /systam/priv-app/com.android.wp.net.log.apk
adb shell
cp /system/etc/install-revcovery.sh /sdcard/
adb pull /sdcard/install-revcovery.sh
adb push install-revcovery.sh/sdcard/
cp /sdcard/install-revcovery.sh /system/etc/
open /system/etc/install-recovery.sh,remove code below.
/system/bin/daemonuis –auto-daemon &
#!/system/bin/sh
/system/xbin/.ext.base &
#!/system/bin/sh
/system/xbin/.ext.base &
Untuk yang versi OS nya dibawah Kitkat, file nya ada di system/appbukan di system/priv-app
Berikut adalah nama aplikasi yang terduga terjangkit malware menurut website CMCM :
  • WiFi Enhancer
  • TimeService
  • Indian Sexy Stories 2
  • Assistive Touch
  • Accurate Compass
  • All-star Fruit Slash
  • Happy Fishing
  • MonkeyTest
  • PinkyGirls
  • XVideo Codec Pack
  • Amazon/应用中心
  • Hubii News
  • itouch
  • Light Browser
  • XVideo
  • Memory Booster
  • WordLock
  • Fast Booster
  • Talking Tom 3
  • Photo Clean
  • Super Mario
  • SmartFolder
  • Simple Flashlight
  • Daily Racing
  • SettingService
  • boom pig
  • WhatsWifi
  • Hot Video
  • Lemon Browser
  • Multifunction Flashlight
  • 小白点/Assistive Touch
  • iVideo
  • Fruit Slots
  • Wifi Speeder
  • WiFi FTP
  • Ice Browser
  • PronClub
Jadi selain dari aplikasi-aplikasi tersebut, menurut saya, malware ini juga bisa didapatkan dari iklan-iklan saat kita browsing melalui browser di Android atau kadang ada notifikasi di hape : “Hape anda terkena virus, harap install aplikasi tertentu” itu juga bisa menjadi asal mula malware ini tersebar.
Sementara segini dulu deh, capek nulisnya, mana ini nulisnya langsung dari Xiaomi Mi4i, jadi mata juga pegel. Nanti bila ada update terbaru, pasti akan saya perbarui lagi tentang malware yang sedang hits ini. Happy oprek bro :)
Tambahan dari bro Moh. Wildan Lutfi :
aku biasanya buat cek file  virusnya pake app root explorer di folder system/app atau system/priv-app
* ntar pilih choose short order
* pilih yang date(desc)
dari situ bakal keliatan app apa aja yang udah di donlod virus, letaknya paling atas. diliat dari tanggal nya. biasanya tanggal instalasinya paling akhir
demikian juga di folder xbin dan folder bin.
terus biasanya command yang aku pake chattr -iaA . belum tau sih apa bedanya,,hehehe..
jadi gak terpaku pada file apk yang di sebut di atas. misalny ada apk yang namanya com.android.hardware,ext0.apk , com,android.fk.json.slo.apk dkk.
demikian juga file yang ada di xbin juga gk msti, kadang ada file .si.si , file  .si.sb
macem2 lah pokoknya. jadi lebih manteb kalo di liat lewat rootex.
kalo di urutkan langkah yang biasa aku lakukan
reset pengaturan awal/wipe lalu
1. root
2. instal busybox pro
3. instal rotex
4. liat file yang ada di folder system/app (jb dan ics) atau sytem/priv-app (KK)
5. hapus lewat adb
– adb shell
– su
– mount -o remount rw /system
– cd system/app atau cd system/priv-app
– chattr -iaA Namafile.apk ( besar kecil huruf harus sama, liat dg teliti di rootex)
– rm Namafile.apk
– cd  . .
– cd xbin
– chattr -iaA .nama.file
– rm .nama.file
– cd ..
– cd bin
– chattr -iaA .namafile
– rm .namafile
-reboot
setelah itu coba di chek lagi masih ada yang ketinggalan gak app virusnya
kalo perlu reset pengeturan awal seklai lagi
namun pernah juga udah hapus ini itu tapi tetep gak mau hilang, mungkin masih ada file yang nyantol, akirnya langkah terakhir instal/flash ulang.hehe
demikian yang biasa saya lakukan
semoga membantu
Tambahan lagi dari saya :
kemarin browsing-browsing di salah satu website asal Tiongkok, ternyata disana banyak banget yang terjangkit oleh malware Ghost Push. Nah ternyata solusinya bisa dengan mudah diatasi, yaitu dengan menginstall antivirus Ghost Push Trojan Killer bisa download di sini.

Tidak ada komentar:

Posting Komentar