Fenomena Malware di Android : Ghost Push / MonkeyTest / TimeService

Standard

Beberapa hari yang lalu, saya dikejutkan oleh 2 orang sekaligus oleh adanya malware / virus di Android. Pertama saat saya di kantor, salah seorang rekan kerja bilang kalau android nya error, muncul notifikasi Monkey Test terus. Lalu sore nya, saat saya pulang kerja, kakak keponakan saya juga mengeluhkan hal yang sama. Fenomena apakah ini?

Jadi ceritanya begini bro, saat itu rekan kerja saya langsung menunjukkan ponselnya: Lenovo A850 yang katanya terkena virus itu. Karena saya sejak 2011 pakai Android dan belum pernah menemukan virus, makanya saya heran.

Setelah saya cek, ternyata memang benar bro. Tapi saya ragu, apakah itu virus atau malware atau apapun itu namanya. Jadi setiap kali internet aktif, pasti muncul beberapa notifikasi, seperti Monkey Test has stopped, lalu ada pula Adobe Air has stopped, terus Time Service has stopped, dll.

Lalu saya bilang, oke, dipakai aja dulu, nanti setelah jam pulang main aja ke rumah saya, ntar kita cek lebih mendalam.

Sorenya, saya pulang ke rumah dan ternyata sudah menanti kakak keponakan saya membawa ponselnya yaitu Smartfren Andromax Z. Anehnya, keluhannya sama dengan rekan kerja saya. Dan lebih parah, punya kakak saya malah secara otomatis menginstall aplikasi seperti LEO Privacy, Olala, Hola Launcher dan Clean Master.

Setiap kali saya mencoba menghapusnya, setelah HH di restart, pasti aplikasi tersebut muncul lagi. Akhirnya saya cek di system/app, ternyata ada beberapa file yang mencurigakan. Inilah file tersebut :

IMG_20150928_172342

Saya menemukan keanehan dari permission app tersebut. Setiap kali saya menghapusnya, setelah restart, aplikasi tersebut akan muncul lagi.

Akhirnya saya putar otak dan menemukan solusi tepat untuk masalah ini, yaitu dengan flash ulang dan wipe everything. Ternyata cara ini ampuh banget dalam mengatasi masalah Monkey Test ini dan sampai sekarang ponsel kakak keponakan saya adem ayem dan tenterem 🙂

Beberapa saat kemudian, muncul deh masalah baru, hehehe. Rekan kerja saya datang ke rumah dengan membawa permasalahan yang sama. Dan yang bikin tambah masalah adalah, dia tidak mau ponselnya di flash ulang, karena katanya dia lupa email nya semua, baik GMail, BBM, dll. Dia takut contact BBM nya hilang.

Saya pun browsing sana-sini tidak menemukan solusi. Akhirnya saya memaksa untuk melakukan rooting pada ponselnya dan memasang aplikasi Titanium Backup.

Ternyata cara ini juga cukup ampuh bro. Caranya adalah freeze aja setiap kali ada aplikasi yang mencurigakan dan membuat error, jadi sampai sekarang, rekan kerja saya itu pun tidak mengeluh adanya error lagi.

Lalu kemarin browsing di salah satu website, ternyata itu disebut dengan Ghost Push Malware. Kira-kira cara kerjanya seperti ini :

Sampai saat ini, menurut website tersebut, malware ini hanya menyerang di chipset MTK dan chipset milik Samsung. Jadi mereka belum menemukan chipset Snapdragon yang terserang malware Ghost Push ini.

Lalu saya iseng jalan-jalan ke XDA, ternyata ada pula yang terserang malware ini. Dan ternyata ada solusinya, caranya begini:

  1. Hidupkan USB Debugging di HH
  2. Pastikan sudah menginstall driver ADB di PC
  3. Pastikan HH sudah di root
  4. Tancapkan HH ke PC
  5. Masuk ke CommandPrompt dengan akses ADB
  6. ketik su enter
  7. Lalu ketik ps | grep .base enter
  8. Dan ketik pula kill pid enter

Setelah itu, untuk menghapus malware dengan file .bin, caranya :

Ketik semuanya di CMD

mount -o remount rw /system #different system may use different command

chattr –ia /system/xbin/.ext.base

chattr –ia /system/xbin/.bat.base

chattr –ia /system/xbin/.zip.base

chattr –ia /system/xbin/.word.base

chattr –ia /system/xbin/.look.base

chattr –ia /system/xbin/.like.base

chattr –ia /system/xbin/.view.base

chattr –ia /system/xbin/.must.base

chattr –ia /system/xbin/.team.base

chattr –ia /system/xbin/.type.base

chattr –ia /system/xbin/.b

chattr –ia /system/xbin/.sys.apk

chattr –ia /system/xbin/.df

chattr –ia /system/bin/daemonuis

chattr –ia /system/bin/uis

chattr –ia /system/bin/debuggerd

chattr –ia /system/bin/nis

chattr –ia /system/bin/daemonnis

chattr –ia /system/bin/.daemon/nis

chattr –ia /system/bin/uis

chattr –ia /system/bin/.sr/nis

chattr –ia /system/bin/mis

chattr –ia /system/bin/daemonmis

chattr –ia /system/bin/.daemon/mis

chattr –ia /system/bin/.sc/mis

rm /system/xbin/.ext.base

rm /system/xbin/.bat.base

rm /system/xbin/.zip.base

rm /system/xbin/.word.base

rm /system/xbin/.look.base

rm /system/xbin/.like.base

rm /system/xbin/.view.base

rm /system/xbin/.must.base

rm /system/xbin/.team.base

rm /system/xbin/.type.base

rm /system/xbin/.b

rm /system/xbin/.sys.apk

rm /system/xbin/.df

rm /system/bin/daemonuis

rm /system/bin/uis

rm /system/bin/debuggerd

rm /system/bin/nis

rm /system/bin/daemonnis

rm /system/bin/.daemon/nis

rm /system/bin/uis

rm /system/bin/.sr/nis

rm /system/bin/mis

rm /system/bin/daemonmis

rm /system/bin/.daemon/mis

rm /system/bin/.sc/mis

cp /system/bin/debuggerd_test /system/bin/debuggerd

Bila virus masih bandel, coba ketikkan ini :

chattr –ia /system/priv-app/cameraupdate.apk

chattr –ia /system/priv-app/com.android.wp.net.log.apk

rm -rf /data/data/com.android.camera.update

rm -rf /data/data/com.android.wp.net.log

rm /systam/priv-app/cameraupdate.apk

rm /systam/priv-app/com.android.wp.net.log.apk

adb shell

cp /system/etc/install-revcovery.sh /sdcard/

adb pull /sdcard/install-revcovery.sh

adb push install-revcovery.sh /sdcard/

cp /sdcard/install-revcovery.sh /system/etc/

open /system/etc/install-recovery.sh,remove code below.

/system/bin/daemonuis –auto-daemon &

#!/system/bin/sh

/system/xbin/.ext.base &

#!/system/bin/sh

/system/xbin/.ext.base &

Untuk yang versi OS nya dibawah Kitkat, file nya ada di system/app bukan di system/priv-app

Berikut adalah nama aplikasi yang terduga terjangkit malware menurut website CMCM :

  • WiFi Enhancer
  • TimeService
  • Indian Sexy Stories 2
  • Assistive Touch
  • Accurate Compass
  • All-star Fruit Slash
  • Happy Fishing
  • MonkeyTest
  • PinkyGirls
  • XVideo Codec Pack
  • Amazon/应用中心
  • Hubii News
  • itouch
  • Light Browser
  • XVideo
  • Memory Booster
  • WordLock
  • Fast Booster
  • Talking Tom 3
  • Photo Clean
  • Super Mario
  • SmartFolder
  • Simple Flashlight
  • Daily Racing
  • SettingService
  • boom pig
  • WhatsWifi
  • Hot Video
  • Lemon Browser
  • Multifunction Flashlight
  • 小白点/Assistive Touch
  • Hot Girls
  • Sex Cademy
  • iVideo
  • Fruit Slots
  • Wifi Speeder
  • WiFi FTP
  • Ice Browser
  • PronClub

Jadi selain dari aplikasi-aplikasi tersebut, menurut saya, malware ini juga bisa didapatkan dari iklan-iklan saat kita browsing melalui browser di Android atau kadang ada notifikasi di hape : “Hape anda terkena virus, harap install aplikasi tertentu” itu juga bisa menjadi asal mula malware ini tersebar.

Sementara segini dulu deh, capek nulisnya, mana ini nulisnya langsung dari Xiaomi Mi4i, jadi mata juga pegel. Nanti bila ada update terbaru, pasti akan saya perbarui lagi tentang malware yang sedang hits ini. Happy oprek bro 🙂

Tambahan dari bro Moh. Wildan Lutfi :

aku biasanya buat cek file  virusnya pake app root explorer di folder system/app atau system/priv-app
* ntar pilih choose short order
* pilih yang date(desc)
dari situ bakal keliatan app apa aja yang udah di donlod virus, letaknya paling atas. diliat dari tanggal nya. biasanya tanggal instalasinya paling akhir

demikian juga di folder xbin dan folder bin.
terus biasanya command yang aku pake chattr -iaA . belum tau sih apa bedanya,,hehehe..

jadi gak terpaku pada file apk yang di sebut di atas. misalny ada apk yang namanya com.android.hardware,ext0.apk , com,android.fk.json.slo.apk dkk.
demikian juga file yang ada di xbin juga gk msti, kadang ada file .si.si , file  .si.sb

macem2 lah pokoknya. jadi lebih manteb kalo di liat lewat rootex.
kalo di urutkan langkah yang biasa aku lakukan

reset pengaturan awal/wipe lalu
1. root
2. instal busybox pro
3. instal rotex
4. liat file yang ada di folder system/app (jb dan ics) atau sytem/priv-app (KK)
5. hapus lewat adb
– adb shell
– su
– mount -o remount rw /system
– cd system/app atau cd system/priv-app
– chattr -iaA Namafile.apk ( besar kecil huruf harus sama, liat dg teliti di rootex)
– rm Namafile.apk
– cd  . .
– cd xbin
– chattr -iaA .nama.file
– rm .nama.file
– cd ..
– cd bin
– chattr -iaA .namafile
– rm .namafile
-reboot

setelah itu coba di chek lagi masih ada yang ketinggalan gak app virusnya
kalo perlu reset pengeturan awal seklai lagi

namun pernah juga udah hapus ini itu tapi tetep gak mau hilang, mungkin masih ada file yang nyantol, akirnya langkah terakhir instal/flash ulang.hehe

demikian yang biasa saya lakukan
semoga membantu

Tambahan lagi dari saya :
kemarin browsing-browsing di salah satu website asal Tiongkok, ternyata disana banyak banget yang terjangkit oleh malware Ghost Push. Nah ternyata solusinya bisa dengan mudah diatasi, yaitu dengan menginstall antivirus Ghost Push Trojan Killer bisa download di sini.

11 thoughts on “Fenomena Malware di Android : Ghost Push / MonkeyTest / TimeService

  1. mungkin sekedar tambahan gan.
    aku biasanya buat cek file virusnya pake app root explorer. di folder system/app atau system/priv-app
    * ntar pilih choose short order
    * pilih yang date(desc)
    dari situ bakal keliatan app apa aja yang udah di donlod virus, letaknya paling atas. diliat dari tanggal nya. biasanya tanggal instalasinya paling akhir
    demikian juga di folder xbin dan folder bin.
    terus biasanya command yang aku pake chattr -iaA . belum tau sih apa bedanya,,hehehe..
    jadi gak terpaku pada file apk yang di sebut di atas. misalny ada apk yang namanya com.android.hardware,ext0.apk , com,android.fk.json.slo.apk dkk.
    demikian juga file yang ada di xbin juga gk msti, kadang ada file .si.si , file .si.sb
    macem2 lah pokoknya. jadi lebih manteb kalo di liat lewat rootex.

    kalo di urutkan langkah yang biasa aku lakukan

    reset pengaturan awal/wipe lalu
    1. root
    2. instal busybox pro
    3. instal rotex
    4. liat file yang ada di folder system/app (jb dan ics) atau sytem/priv-app (KK)
    5. hapus lewat adb
    – adb shell
    – su
    – mount -o remount rw /system
    – cd system/app atau cd system/priv-app
    – chattr -iaA Namafile.apk ( besar kecil huruf harus sama, liat dg teliti di rootex)
    – rm Namafile.apk
    – cd . .
    – cd xbin
    – chattr -iaA .nama.file
    – rm .nama.file
    – cd ..
    – cd bin
    – chattr -iaA .namafile
    – rm .namafile
    -reboot

    setelah itu coba di chek lagi masih ada yang ketinggalan gak app virusnya
    kalo perlu reset pengeturan awal seklai lagi

    namun pernah juga udah hapus ini itu tapi tetep gak mau hilang, mungkin masih ada file yang nyantol, akirnya langkah terakhir instal/flash ulang.hehe

    demikian yg biasa saya lakukan
    semoga membantu

  2. Iya nih, aplikasi kaya gini mengganggu banget, apalagi di sekitar saya masih ada anak-anak kecil.. takutnya nanti malah ngebuka2..

    o iya mas, sebenarnya istilah ‘HH’ itu kepanjangannya apa ya? makasih banyak yaa

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s