Plusieurs utilisateurs d'Amazon Fire TV et de Fire TV Stick signalent des cas d'infection par une variante du tristement célèbre malware de crypto-monnaie ADB.Miner.
Plusieurs utilisateurs dans nos forums ont signalé que leurs appareils Amazon Fire TV et Amazon Fire TV Stick sont soudainement devenus très lents à utiliser. Ce ralentissement soudain coïncide avec l’apparition d’une application simplement appelée « test » qui continue d’apparaître de manière aléatoire. Non seulement la fenêtre contextuelle est ennuyeuse, mais elle entraîne également l'arrêt de la lecture vidéo et l'arrêt des applications, ce qui rend très difficile la poursuite de l'utilisation normale de l'appareil.
Il s'avère que cette application « test » est en fait un malware de crypto-monnaie qui infecte les appareils Amazon Fire TV et Fire TV Stick. L'APK de test avec le nom du package "com.google.time.timer" se démarre automatiquement pour exécuter une variation du tristement célèbre ADB.Miner malware. Une fois qu'un appareil est infecté, le virus commence à utiliser 100 % des ressources de traitement de l'appareil pour exploiter Monero à l'aide de CoinHive. Pour aggraver les choses, le malware se propage à d’autres appareils Android sur le même réseau via ADB, ce qui rend difficile la gestion de la situation.
Mon appareil est-il infecté?
Les appareils Amazon Fire TV infectés sont considérablement ralentis, les applications prenant beaucoup de temps à charger et toutes les actions répondant paresseusement. L'application Test apparaîtra également de manière aléatoire sur l'écran et rendra l'interaction avec l'interface utilisateur difficile.
Le simple fait de vérifier l'application Test dans la liste des applications ou dans les paramètres de gestion des applications ne fonctionne pas comme l'application n'apparait pas dans ces listes. Utilisez plutôt une application comme Commandant total depuis l'Amazon App Store pour vérifier. L'application Test peut apparaître même sur des appareils qui n'ont eux-mêmes téléchargé aucune application, car le logiciel malveillant peut se propager à d'autres appareils sur le réseau.
L’application source exacte du malware est actuellement incertaine. Cependant, il ne serait pas exagéré de rejeter la faute sur les applications téléchargées qui contribuent au piratage de films et d’émissions de télévision.
Solutions de nettoyage
Si l'un de vos appareils est infecté, il y a de fortes chances que d'autres appareils Android (et pas seulement les appareils Amazon Fire TV) sur le même réseau soient également infectés. Avant de procéder au nettoyage, assurez-vous de désactiver le débogage ADB sur tous vos appareils, infectés ou non.
Retour aux paramètres d'usine
La solution la plus efficace consiste à réinitialiser les paramètres d’usine de l’appareil infecté, ainsi que de tous les autres appareils du même réseau. La réinitialisation d'usine peut être trouvée dans les paramètres système. Cela effacera tout sur l’appareil et recommencera à zéro. Assurez-vous de sauvegarder tout ce qui est important avant d'effectuer une réinitialisation d'usine.
Désinstaller le virus modifié
Cette solution n'est pas recommandée car l'étendue du virus et les modifications qu'il apporte sur votre système sont inconnues. Vous ne devriez envisager cette option que si la réinitialisation d’usine de vos appareils n’est absolument pas une option.
Vous pouvez supprimer les fichiers de virus à l'aide des commandes ADB suivantes :
shell rm data/local/tmp/ufo.apk
shell rm data/local/tmp/lock.txt
shell rm data/local/tmp/smi
shell rm data/local/tmp/endat
shell rm data/local/tmp/nohup
uninstallcom.google.time.timer
rebootInstaller un virus modifié
Cette solution est inférieure à la réinitialisation d’usine de votre appareil et n’est donc pas recommandée. Vous pouvez installer une application antivirus modifiée, créée par XDA Member innovations, qui "désactive" la fonction minière du virus. Ceci est réalisé en remplaçant le fichier run.html du virus par une page vierge ne contenant pas de script d'exploration de données. D’autres changements incitent le virus à signaler son succès, alors qu’en réalité, le virus ne générera aucun revenu. Vous pouvez ensuite masquer l'application.
Vous pouvez trouver le virus modifié joint à ce post dans nos forums.
Pour éviter une réinfection, faites attention aux applications que vous installez sur vos appareils et désactivez « Débogage ADB » lorsqu'elles ne sont pas utilisées. Même si vos appareils ne montrent aucun signe d'infection, il serait prudent de vérifier l'existence de cette application et de maintenir le débogage ADB désactivé jusqu'à ce que vous en ayez réellement besoin.
Source: Forums Fire TV
Histoire via: AFTV News