Kali ini ada kabar buruk yang akan saya sampaikan. Beberapa firmware backdoor berhasil ditemukan di smartphone/tablet Android low-cost alias murah meriah. Firmware berbahaya ini diam-diam mengumpulkan informasi data tentang perangkat yang terinfeksi. Lalu menampilkan iklan di bagian atas, menjalankan aplikasi. Dan juga mendownload aplikasi yang tidak diinginkan pada perangkat korban.
Peniliti keamanan dari Rusia menemukan dua jenis trojan downloader dalam firmware tersebut. Kebanyakan perangkat Android yang terinfeksi yaitu perangkat yang beroperasi pada platform MediaTek.
Trojan tersebut terdeteksi sebagai Android.DownLoader.473.origin dan Android.Sprovider.7. Yang mampu mengumpulkan data tentang perangkat yang terinfeksi, menghubungi server command-and-control pelaku, secara otomatis memperbarui diri. Juga diam-diam mendownload dan menginstal aplikasi lain berdasarkan petunjuk yang diterima dari server mereka, dan berjalan setiap kali perangkat diaktifkan ulang atau dihidupkan.
Berikut daftar model perangkat Android yang terinfeksi oleh firmware berbahaya tersebut, diantaranya:
- Lenovo A319
- Lenovo A6000
- MegaFon Login 4 LTE
- Bravis NB85
- Bravis NB105
- Irbis TZ85
- Irbis TX97
- Irbis TZ43
- Irbis tz56
- Pixus Touch 7.85 3G
- SUPRA M72KG
- SUPRA M729G
- SUPRA V2N10
- Itell K3300
- Digma Plane 9.7 3G
- General Satellite GS700
- Nomi C07000
- Optima 10.1 3G TT1040MG
- Marshal ME-711
- 7 MID
- Explay Imperium 8
- Perfeo 9032_3G
- Prestigio MultiPad Wize 3021 3G
- Prestigio MultiPad PMT5001 3G
- Ritmix RMD-1121
- Oysters T72HM 3G
- Irbis tz70
- Jeka JK103.
“Diketahui bahwa dari hal ini cyber crime menghasilkan pendapatan dengan meningkatkan statistik download aplikasi. Juga dengan mendistribusikan iklan,” Para peneliti menjelaskan. “Oleh karena itu, [both Trojans] dimasukkan ke firmware Android karena adanya agen outsourcing yang tidak jujur. Yang bertujuan untuk menghasilkan uang dari hasil usaha licik ini.”
Trojan Android.Sprovider.7Â ditemukan dalam firmware dari Lenovo A319 dan Lenovo smartphone A6000. Trojan ini mampu melakukan banyak hal termasuk:
- Mendownload, menginstal dan menjalankan file APK.
- Membuka link yang ditentukan dalam browser.
- Membuat panggilan telepon ke nomor-nomor tertentu dengan menggunakan sistem aplikasi standar.
- Menjalankan aplikasi sistem telepon standar ke nomor tertentu yang sudah dihubungi.
- Menampilkan iklan di bagian atas dalam semua aplikasi.
- Menampilkan iklan di status bar.
- Membuat shortcut pada layar awal.
- Memperbarui modul utama yang berbahaya.
Sedangkan trojan Android.Downloader.473.origin ditemukan dalam peringkat sisanya. Trojan ini dapat mendownload dan menginstal program malware lainnya. Juga mendownload dan menginstal aplikasi yang tidak diinginkan. Termasuk program periklanan yang disebut H5GameCenter.
Aplikasi H5GameCenter ini menampilkan kotak gambar kecil diatas semua aplikasi yang berjalan. Dan parahnya, tidak ada pilihan untuk menonaktifkannya. Bahkan jika pengguna yang terinfeksi menghapus aplikasi ini, firmware trojan akan kembali menginstal ulang aplikasi.
