Secara keseluruhan, perangkat Android telah mendapatkan reputasi keamanan yang beragam. Sementara OS itu sendiri dan Google Pixels telah berdiri selama bertahun-tahun melawan eksploitasi perangkat lunak, aliran aplikasi berbahaya yang tidak ada habisnya di Google Play dan perangkat yang rentan dari beberapa produsen pihak ketiga telah menodai citranya.
Pada hari Kamis, gambar itu semakin ternoda setelah dua laporan mengatakan bahwa beberapa baris perangkat Android dilengkapi dengan malware yang sudah diinstal sebelumnya dan tidak dapat dihapus tanpa pengguna mengambil tindakan heroik.
Laporan pertama datang dari perusahaan keamanan Trend Micro. Peneliti menindaklanjuti presentasi yang disampaikan pada konferensi keamanan Black Hat di Singapura melaporkan bahwa sebanyak 8,9 juta ponsel dan terdiri dari 50 merek berbeda terinfeksi malware.
Pertama kali didokumentasikan oleh para peneliti dari firma keamanan Sophos, Guerrilla, sebagaimana mereka menamai malware tersebut, ditemukan di 15 aplikasi berbahaya yang diizinkan Google masuk ke pasar Play-nya.
Gerilya membuka pintu belakang yang menyebabkan perangkat yang terinfeksi berkomunikasi secara teratur dengan perintah jarak jauh dan server kontrol untuk memeriksa apakah ada pembaruan jahat baru yang akan diinstal.
Pembaruan berbahaya ini mengumpulkan data tentang pengguna yang dapat dijual oleh pelaku ancaman, yang disebut Trend Micro sebagai Lemon Group, kepada pengiklan.
Guerrilla kemudian diam-diam memasang platform iklan agresif yang dapat menghabiskan cadangan baterai dan menurunkan pengalaman pengguna.
Peneliti Trend Micro menulis:
“Sementara kami mengidentifikasi sejumlah bisnis yang dilakukan Lemon Group untuk data besar, pemasaran, dan perusahaan periklanan, bisnis utama melibatkan pemanfaatan data besar: Menganalisis data dalam jumlah besar dan karakteristik pengiriman produsen yang sesuai, berbagai konten iklan diperoleh dari pengguna yang berbeda pada waktu yang berbeda, dan data perangkat keras dengan dorongan perangkat lunak terperinci. Hal ini memungkinkan Lemon Group untuk memantau pelanggan yang dapat terinfeksi lebih lanjut dengan aplikasi lain yang dibangun, seperti berfokus hanya menampilkan iklan kepada pengguna aplikasi dari wilayah tertentu.”
Negara dengan konsentrasi ponsel terinfeksi tertinggi adalah AS, diikuti oleh Meksiko, Indonesia, Thailand, dan Rusia.
Guerrilla adalah platform besar dengan hampir selusin plugin yang dapat membajak sesi WhatsApp pengguna untuk mengirim pesan yang tidak diinginkan, membuat proxy terbalik dari ponsel yang terinfeksi dan menggunakan sumber daya jaringan perangkat seluler yang terpengaruh, dan menyuntikkan iklan ke aplikasi yang sah.
Sayangnya, Trend Micro tidak mengidentifikasi merek yang terpengaruh, dan perwakilan perusahaan tidak menanggapi email yang menanyakannya.
Laporan kedua diterbitkan oleh TechCrunch. Ini merinci beberapa baris kotak TV berbasis Android yang dijual melalui Amazon yang dibubuhi malware.
Kotak TV, dilaporkan sebagai model T95 dengan laporan h616 ke server perintah dan kontrol yang, seperti server Gerilya, dapat menginstal aplikasi apa pun yang diinginkan pembuat malware. Malware default yang diinstal sebelumnya pada kotak dikenal sebagai clickbot. Ini menghasilkan pendapatan iklan dengan diam-diam mengetuk iklan di latar belakang.
TechCrunch mengutip laporan (di sini dan di sini) oleh Daniel Milisic, seorang peneliti yang kebetulan membeli salah satu kotak yang terinfeksi. Temuan Milisic dikonfirmasi secara independen oleh Bill Budington, seorang peneliti di Electronic Frontier Foundation.
Perangkat Android yang datang dengan malware langsung dari kotak pabrik, sayangnya, bukanlah hal baru. Ars telah melaporkan insiden semacam itu setidaknya lima kali dalam beberapa tahun terakhir (di sini, di sini, di sini, di sini, dan di sini). Semua model yang terpengaruh berada di tingkat anggaran.
Orang-orang di pasar untuk ponsel Android harus mengarahkan ke merek terkenal seperti Samsung, Asus, atau OnePlus, yang umumnya memiliki kontrol jaminan kualitas yang jauh lebih andal di inventaris mereka.
Hingga saat ini, belum pernah ada laporan tentang perangkat Android kelas atas yang dilengkapi dengan malware yang sudah diinstal sebelumnya. Demikian juga tidak ada laporan seperti itu untuk iPhone.
