Dr.Web

Trojan Android.MagicAd menampilkan iklan meskipun ada pembatasan

Ulasan Viral | Blog Keamanan

18 Juni 2026

 

Para spesialis di laboratorium antivirus Doctor Web telah menemukan trojan Android.MagicAd yang melewati pembatasan OS Android dengan berbagai cara dan menampilkan iklan saat beroperasi di mode latar belakang. Salah satu metodenya bersifat universal, sementara yang lain dirancang untuk perangkat dari produsen tertentu, termasuk mengeksploitasi aplikasi pihak ketiga dan menggunakan sistem media player.


Android.MagicAd.1 disebarkan melalui katalog aplikasi resmi GetApps untuk perangkat Xiaomi dan disembunyikan di lebih dari 50 game dan aplikasi yang berbeda. Aplikasi ini muncul di toko selama jangka waktu yang singkat, biasanya tidak lebih dari satu bulan, lalu menghilang dan diganti oleh yang baru. Bisa jadi ini merupakan upaya penyerang untuk melindungi Android.MagicAd.1 agar tidak cepat terdeteksi sambil mempertahankan aktivitasnya: setelah dihilangkan dari toko, trojan tetap berada di perangkat pengguna dan dapat terus melakukan aktivitas berbahayanya. Saat ini, tidak ada satu pun aplikasi yang kami identifikasi dengan Android.MagicAd.1 yang masih tersedia untuk diunduh dari GetApps, dan pengembang yang mendistribusikannya telah berhenti memuat aplikasi baru dengan trojan tersebut.

Sebuah studi yang dilakukan oleh analis virus Doctor Web mengungkapkan bahwa versi pertama Android.MagicAd.1 muncul pada tahun 2025 dan juga ditemukan di Samsung Galaxy Store selain GetApps.

 

pastedGraphic.png pastedGraphic_1.png

Contoh game dan program dari katalog GetApps di mana Android.MagicAd.1 disembunyikan. Saat artikel ini dipublikasikan, modifikasi trojan yang ada di gambar serta modifikasi lainnya sudah tidak dapat diunduh

 

Sebagian dari fungsi berbahaya Android.MagicAd.1 terletak di modul dex yang disembunyikan di library asli terenkripsi dalam direktori dengan sumber file trojan. Saat beroperasi, ia mendekripsi library ini, mengekstrak komponennya dari library tersebut dan meluncurkannya.

 

Sebelum mulai menampilkan iklan, trojan melakukan serangkaian pemeriksaan untuk memastikan bahwa lingkungannya aman. Misalnya, ia mencari tanda-tanda sedang berfungsi di lingkungan virtual, memeriksa apakah instalasinya organik, apakah alamat IP perangkat yang terkena ada dalam daftar hitamnya, dll.

 

Jika Android.MagicAd.1 tidak mendeteksi aktivitas mencurigakan apapun, ia menyembunyikan ikonnya dari daftar aplikasi di layar utama. Kemudian, ia membuat saluran notifikasi untuk meluncurkan beberapa layanan persisten berbahaya yang diperlukan untuk beroperasi di mode latar belakang saat jendela aplikasi berbahaya ditutup. Android.MagicAd.1 kemudian menggunakan penjadwal tugas untuk secara berkala meluncurkan ulang layanan yang memeriksa saluran notifikasi dan, jika perlu, meluncurkan ulang saluran tersebut. Selain itu, saat beroperasi pada perangkat dengan versi Android OS yang relatif lama, trojan ini meluncurkan layar virtual untuk mencegah salah satu komponennya terganggu oleh sistem.

 

Untuk menampilkan iklan di latar belakang saat jendelanya ditutup, Android.MagicAd.1 menggunakan sejumlah teknik yang dipilih berdasarkan produsen perangkat yang terkena. Teknik-teknik ini diimplementasikan tanpa secara eksplisit meminta izin dari sistem [string]SYSTEM_ALERT_WINDOW[/string], yang memungkinkan aplikasinya muncul di atas aplikasi lain.

 

Terlepas dari metode yang digunakan, semua banner iklan dimuat sebagai aktivitas setengah transparan (Translucent Activity) yang memungkinkan trojannya untuk menampilkannya di atas jendela yang sudah ada.

 

 

pastedGraphic_2.png pastedGraphic_3.png pastedGraphic_4.png pastedGraphic_5.png

Contoh iklan yang ditampilkan Android.MagicAd.1

 

Salah satu teknik yang diterapkan adalah melalui niat (Intent) yang ditujukan ke aplikasi lain, yang membiarkan trojan melewati pembatasan pada versi modern OS Android yang mencegah aplikasi dari meluncurkan dirinya sendiri. Tergantung pada model perangkat yang terkena, Android.MagicAd.1 menggunakan teknik ini untuk menampilkan iklan sendiri atau secara langsung "memaksa" aplikasi yang ditargetkan untuk menampilkan banner berisi.

 

Dalam salah satu variasi metode ini, trojan menargetkan:

 

  • Mi Browser pada perangkat Xiaomi;
  • graphical shell Miui SystemUI pada perangkat Xiaomi;
  • launcher Amazon Fire TV Home Screen pada perangkat Amazon TV.

Semua aplikasi ini adalah aplikasi sistem pada perangkat terkait, sehingga dapat memproses intent bahkan ketika tidak diluncurkan langsung oleh pengguna. Selama aplikasi-aplikasi ini aktif dan bisa menerima intent, Android.MagicAd.1 dapat menggunakannya untuk menampilkan iklan.

 

Perlu dicatat bahwa jika Mi Browser diinstal pada perangkat Xiaomi sebagai aplikasi non-sistem, trojan juga dapat menggunakan program ini untuk menampilkan iklan sampai jendela browser ditutup.

 

Ketika Android.MagicAd.1 mendeteksi Mi Browser pada perangkat yang sesuai, ia mengirimkan intent tertunda untuk meluncurkan iklan ke komponen dex-nya (yang dideteksi oleh Dr.Web sebagai Android.MagicAd.1.origin). Komponen dex ini kemudian membuat intent-nya sendiri dan meneruskannya ke browser, yang mengekstrak intent asli dan meluncurkan iklan sesuai dengan intent itu.

 

Interaksi dengan dua program lainnya agak berbeda, sebab program-program tersebut digunakan untuk mengaktifkan trojan dari mode latar belakang. Pertama-tama, Android.MagicAd.1 mengirimkan intent tertunda untuk meluncurkan iklan ke modul Android.MagicAd.1.origin, yang kemudian mengirimkan intent-nya sendiri ke program target untuk diaktifkan. Jika aplikasi target adalah aplikasi MiUI SystemUI, aplikasi tersebut merespons dengan mengirimkan intent-nya sendiri untuk meluncurkan modul tersebut. Jika program target adalah Amazon Fire TV Home Screen, program tersebut akan meluncurkan modul secara langsung, menggunakan nama paketnya. Setelah mendapat kendali atas programnya, modul Android.MagicAd.origin akan meluncurkan iklan yang diterimanya dalam intent tertunda dari aplikasi utama yang berbahaya.

 

Jika trojan gagal menampilkan iklan, ia akan mencoba metode yang sama dua kali lagi, dan jika itu pun gagal, akan mencoba menampilkan iklan secara langsung, tanpa menggunakan intent tertunda atau modul dex berbahayanya.

 

Variasi lain dari metode ini mirip dengan yang sebelumnya dan digunakan untuk mengeksploitasi aplikasi pada perangkat Vivo. Perbedaannya ada pada peluncuran iklan menggunakan Android Binder, komponen sistem yang memfasilitasi komunikasi antar proses. Dalam hal ini, trojan menargetkan aplikasi sistem berikut:

  • iManager,
  • Phonebook,
  • Vivo Browser,
  • Baidu IME Customized.

 

Android.MagicAd.1 meluncurkannya melalui Android Binder, mengirimkan intent standar melalui kontainer data Parcel. Program ini kemudian meluncurkan komponen trojan Android.MagicAd.origin yang menampilkan iklan setelah keluar dari mode latar belakang.

 

Android.MagicAd.1 juga menyertakan beberapa metode lain untuk menampilkan iklan saat beroperasi pada mode latar belakang, termasuk menggunakan media player. Tidak seperti metode khusus untuk perangkat tertentu, metode ini bersifat universal dan berfungsi pada sebagian besar model dari berbagai produsen. Android.MagicAd.1 mendekripsi file audio dari badannya dan menyimpannya ke direktori kerja. Malware kemudian meluncurkan media player sistemnya sendiri, mengatur volumenya ke minimum, dan menghubungkannya ke sistem pengelolaan media global Android OS. Untuk menayangkan iklan, Android.MagicAd.1 kemudian menginstal penerima siaran yang memantau klik pada player ini. Trojan kemudian menggunakan perintah adb khusus untuk meniru tindakan pengguna dengan menekan tombol rekam di player, setelah itu jendela langsung ditutup. Menekan tombol tersebut memicu penerima media sistem yang memungkinkan Android.MagicAd.1 untuk mengambil kendali dan menayangkan iklan.

 

Dr.Web Security Space untuk perangkat seluler mendeteksi dan menghapus semua versi malware Android.MagicAd.1 yang dikenal dengan cara yang aman, sehingga tidak menimbulkan ancaman bagi pengguna kami.