Malware Ghost Push

Malware Ghost Push

Hari Jum'at kemarin tgl 23 Oktober 2015, ada senior saya pak Agus BS meminta tolong pada saya karena Tablet Galaxy tab 10 nya lemmot dan sering ngehang gara – gara Malware. Ketika saya cek memang benar, lemmotnya ini bukan lemot normal dan terkadang ada notifikasi “Security Plugin Berhenti” lalu ngehang begitu saja. Alhasil saya bawa tablet tersebut untuk saya cek kembali permasalahannya, mulanya saya berpikir karena ada aplikasi abnormal bernama “Monkey Test“, “Time Services“, “pro“, “adobe air“, dan beberapa aplikasi abnormal lainnya. Sehingga langsung saya disable, clear, dan uninstall app tersebut, sebelumnya koneksi internet saya matikan.
Benar sekali, setelah itu tablet tersebut menjadi ringan dan tidak lemmot seperti awal sblm saya lakukan prosedur tersebut. Setelah itu saya uji 3 hari kedepan apakah tablet ini masih ringan, apakah kembali lemmot lagi nantinya.
Setelah 3 hari lebih tablet ini saya diamkan dalam loker, saya cek baterainya, RAM, aplikasi berjalan saat itu dan pengecekan lainnya termasuk security dkk. Ternyata, tablet ini lemmot kembali seperti sedia kala, dan aplikasi yang sebelumnya sudah saya uninstall kembali muncul dan running. Disitu saya mulai curiga, saya mencoba bertanya pada mbah gugel dan ternyata benar bahwa aplikasi diatas yang saya sebutkan itu adalah Malware.

Akhirnya saya baca lebih detail lagi ternyata FireEye Labs Mobile Researchers menemukan sebuah Malicious Adware (Malware) yang telah menyebar ke seluruh dunia, malware ini dapat mengakses penuh/mengambil alih fungsi android anda bila dia telah terinstall di android anda. Malware yang kemudian menjadi virus bernama “Ghost Push” ini menjadi trend topik pada Android Community.

 Alur Virus ini menyerang Android OS
Ads Push Virus ini dapat terinstall otomatis bila anda mengklik iklan, promosi atau link yang tidak aman ketika menjalankan sebuah aplikasi, atau ketika saat browsing internet. CM Security juga mengatakan bahwa 600.000 lebih pengguna terinfeksi virus ini setiap harinya, dan lebih dari 30 aplikasi telah terinfeksi oleh virus ini.
Ghost Push
JADI…. ???!!!
Apa yang harus kita lakukan untuk mencegah virus ini ?
  1. Melakukan uninstall dan clear data pada aplikasi tersebut diatas, tidak menyelesaikan masalah.
  2. Melakukan Factory Reset, tidak menyelesaikan masalah.
  3. Bila anda tidak memiliki antivirus, maka anda perlu sedikit tenang. Karena anda cukup mengeluarkan kocek lumayan untuk mem-flash ulang android anda pada konter HP terdekat. haha 😀
  4. Atau, cara murah bahkan gratis dengan mengikuti langkah yang penulis berikan dibawah.

Here's how to solve this Ghost Push Virus Problem :

  1. Pastikan internet maupun paket data anda mati.
  2. Matikan WiFi, mobile data, dan apapun yang berhubungan dengan konektivitas android anda.
  3. Setiap tipe model HP Android, tiap versi OS Android anda berbeda – beda antar satu sama lain dan penanganannya pun berbeda.
  4. Gunakan ADB shell, download di Android Studio For Developer.
  5. Aktifkan USB Debugging pada Android anda.
  6. Sambungkan Android anda pada komputer yang telah terinstal ADB tersebut,
  7. Buka powershell atau cmd pada lokasi “../sdk/platform-tools” atau carilah lokasi dari ADB file.
  8. Lakukan Backup secukupnya, termasuk data dan apk app anda.
  9. Kerusakan apapun yang terjadi karena mengikuti langkah ini, BUKAN merupakan tanggung jawab penulis. Lakukan dengan kreatif !!!.

Tools Optionals:

  1. Busybox Installer by JRummy Apps Inc.
  2. Root Explorer Pro by Speed Software
  3. Terminal Emulator by Jack Palevich

Execute this script below :

Console
Perhatikan file berekstensi awal dot (.)

adb devices (Cek android device yang terhubung pada komputer)
adb shell
su
mount -o remount,rw /system
cd system/priv-app                       (Bila tidak ada folder “priv-app”, berarti cukup cek folder “app”, perbedaan dia virus atau bukan terletak pada file permission app bawaan biasanya rw-rr, tapi bila virus biasanya bukan rw-rr)
chattr -iaA providerCertificate.apk
rm providerCertificate.apk
chattr -aA cameraupdate.apk
rm cameraupdate.apk
cd /system/xbin          (Cek seluruh folder “xbin” & “bin” dari file berekstensi dot (.) misal “.ext.base”,”.sk.sb”,”.sk.sk”,dll.)
chattr -iaA .b             (Matikan attribut immutable dan append pada file suspicious tsb)
rm .b
chattr -iaA .ext.base
rm .ext.base
chattr -iaA .sk.sk
rm .sk.sk
cd /system/etc
chattr -iaA install-recovery.sh
rm install-recovery.sh

Shutdown android anda, kemudian lakukan factory reset serta hapus seluruh data. Bila ada masalah atau pertanyaan silahkan komentar dibawah. 😀

Sumber Gambar :

  1. https://www.android-user.de/wp-content/uploads/2015/09/44911824_android.jpg
  2. https://www.cmcm.com/upload/image/20150923/1442992232681644.jpg
  3. https://www.cmcm.com/upload/image/20150923/1442991974375270.jpg