Bezpieczeństwo

Te popularne urządzenia z Android TV są dostarczane ze złośliwym oprogramowaniem!

przeczytasz w 2 min.

Zapewne wielu z Was kojarzy sytuację, gdzie ktoś posiada nadal sprawny telewizor, ale nie posiada Smart TV. W takim przypadku najczęściej dokonywany jest zakup urządzenia z systemem Android TV. A co, jeżeli część tych sprzętów posiada zainstalowane szkodliwe oprogramowanie?

Analitycy cyberbezpieczeństwa odkryli, że kilka popularnych produktów typu „Android TV Box” jest sprzedawanych, z fabrycznie zainstalowanym złośliwym oprogramowaniem. A w jakim celu jest ono tam instalowane? Badacz cyberbezpieczeństwa Daniel Milisic uznał, że jest to wygodna metoda na generowanie przychodów dla atakujących (poprzez klikanie reklam w tle, bez wiedzy i zgody właścicieli). Jak w ogóle odnalazł to oprogramowanie?

Daniel Milisic przeglądał sklep Amazon, w poszukiwaniu urządzeń typu Smart TV Box. Odnalazł on bardzo popularny AllWinner T95, który posiadając masę pozytywnych komentarzy oraz ocenę cztery na pięć gwiazdek, kosztował około 40 dolarów. Postanowił zamówić ten sprzęt i sprawdzić, skąd wynika ta cena.

Android TV Box T95

Milisic odkrył, że narzędzie komunikuje się z serwerem Command & Control (z ang. Dowodzenia i Kontroli) i oczekuje na określone instrukcje. Dokładniejsze dochodzenie wykazało, że urządzenie łączy się z szerszym botnetem, obejmującym farmę urządzeń na całym świecie. Instrukcje dotyczyły pobrania złośliwego oprogramowania, które dokonuje oszustw związanych z kliknięciami reklam.

Serwery Command & Control – Czym są i jaka jest ich rola we współczesnych cyberatakach?

Jak podaje strona kapitanhack.pl „Obecnie większość szkodliwego oprogramowania wymaga kogoś lub czegoś do wydawania mu zdalnych poleceń oraz odbierania skradzionych danych. Robią to właśnie serwery C2. Najbardziej niezawodne malware korzystają z ręcznie sterowanych serwerów C2 i nie wykorzystują do tego sztucznej inteligencji. Bez względu na to, czy serwer i jego operator kieruje botnetem czy odbiera skradzione informacje, umożliwia komunikację poprzez Internet między atakującym, a celem ataku. To właśnie podstawowa rola i funkcjonalność C&C. Sterowne może być jedno zainfekowane urządzenie, setki urządzeń w jednej sieci lub setki tysięcy urządzeń rozproszonych po całym Internecie.”

Trojany na Smart TV Box – zaifekowanych urządzeń jest więcej

Po opublikowaniu swoich ustaleń na platformie GitHub, inni specjaliści również włączyli się w dalsze badanie tego typu urządzeń. Jednym z nich był Bill Budington, który nie tylko potwierdził ustalenia MIlisica, ale także odkrył istnienie sprzętów, które działają na podobnej zasadzie. Są to: AllWinner T95Max, RockChip X12 Plus oraz RockChip X88 Pro 10.

Wątek na Reddit

Poruszony wątek na platformie Reddit

Milisic skontaktował się z firmą hostingową, na której pracowały serwery C2. Wytłumaczył im z jakiej przyczyny do nich pisze i poprosił o wyłączenie wspomnianych wcześniej serwerów. Choć sama firma błyskawicznie zareagowała na zgłoszenie, to sam Milisic stwierdził, że nic nie stoi na przeszkodzie, aby ugrupowania cyberprzestępcze postawiły serwer C2 w innym miejscu i po prostu kontynuowały swoją działalność.

W rozmowie z TechCrunch Budington nie ukrywał swojego zdumienia:

To imponująca i niepokojąca operacja […] Trudno jest oszacować skalę tej sieci. Wiemy jednak, że wszędzie, gdzie spojrzymy, istnieją różne warianty trojana dla systemu Android, które pobierają złośliwe oprogramowanie następnego etapu z tego samego zestawu adresów IP, które w przeszłości brały udział w atakach na łańcuch dostaw.

Najgorsze w tym wszystkim jest to, że przeciętny użytkownik tak naprawdę nie wie, jak zainstalować lub usunąć takie oprogramowanie ze swoich Smart TV Box’ów. Dla tych osób najlepszym rozwiązaniem byłoby po prostu zastąpienie urządzeń czymś bardziej godnym zaufania – chociażby tych z naszego rankingu.

Linus Tech Tips również o podobnym zjawisku wspominał na swoim kanale

Zdaniem badaczy, platformy typu Amazon powinny wymagać od sprzedawców wyższego standardu i dokładniej przyglądać się oferowanemu przez nich sprzętowi. Mówią:

Nie wolno im [sprzedawcom] sprzedawać zabawek dla dzieci, wykonanych z obracających się żyletek. Dlaczego można pozwolić małym, nieznanym sprzedawcom sprzedawać komputery działające złośliwie bez wiedzy i zgody właścicieli?

A czy Wy korzystacie z „chińskich” przystawek typu Smart TV? A może nadal używacie tego, co jest domyślnie zainteresowane w telewizorze? Dajcie znać w komentarzach!

Źródło: techradar.pro; TechCrunch; kapitanhack.pl

Komentarze

15
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Fiona
    7
    Czyli co:
    Koncerny mogą szpiegować, postarzać sprzęt. Kraść i oszukiwac bo są wielkie ???
    Podobnie ludzie, wybrane kilka procent będzie mieć własne samoloty, ferrari i generować 25% zanieczyszczeń.
    A Jas Kowalki raz w roku poleci samolotem, będzie skazany na rower . będzie żarł robaczki ???

    Wiecie że niewolnicy w starożytnym Rzymie mieli lepiej ???
    • avatar
      Hrakiri
      3
      Brakuje w ankiecie NIe posiadam Smart TV ani przystawki
      • avatar
        youkai20
        2
        A gdzie opcja nie mam telewizora?
        • avatar
          ooooo
          2
          "Dlaczego można pozwolić małym, nieznanym sprzedawcom sprzedawać komputery działające złośliwie bez wiedzy i zgody właścicieli?"

          A dlaczego zezwalać dużym producentom sprzedawać urządzenia z bloatware? Nie można ich odinstalować, rootowanie często wiąże się z problemami chociażby w płatnościach.
          Dlaczego zezwalamy na regionalizację przy dystrybucji wideo, gdy obecnie wszystko odbywa się cyfrowo? Te wszystkie ograniczenia powodują, że ludzie szukają alternatywnych rozwiązań.
          • avatar
            piterk2006
            0
            "nic nie stoi na przeszkodzie, aby ugrupowania cyberprzestępcze postawiły serwer C2 w innym miejscu i po prostu kontynuowały swoją działalność" - tylko, że najpierw ten zainfekowany box musiałby dostać adres nowego serwera. Na ten moment kupisz taki box, on spróbuje się połączyć z serwerem którego nie ma i to by było na tyle z malware. Poza tym czemu android tego nie wykrywa jako wirusa? Tutaj szukałbym przyczyny - w aplikacjach systemowych można każde gówno zawrzeć i play store tego nie skanuje.
            A dwa - nie do końca wyjaśniono na czym dokładnie polega to adware. Cośtam o kliknięciach w reklamy, ale co - to użytkownik tego boxa ma wyświetlane te reklamy na telewizorze i musi je zamykać? Czy to takie straszne? Czym to się różni od guano-reklam oferowanych przez google tv czy youtube? Oczywiście wiadomo, że teraz jest "tylko" adware, a w przyszłości może być spyware które np. będzie nagrywać cię z kamerki wbudowanej w telewizor (co legalnie robią producenci), ale na ten moment poważnego zagrożenia nie ma, jedynie chęć zarobku.
            No chyba, że ten box jest na tyle smart, że potrafi np. zainfekować także komputer przez wi-fi. To wówczas szacuneczek dla autorów tego dosłownego "konia trojańskiego" ;)
            • avatar
              que_pasa
              0
              Nie wiem skąd to zaskoczenie u niektórych. Na każdym urządzeniu jest koń trojański, czy to android, windows czy MacOS. Nawet na linuksie trzeba uważać co się instaluje bo ostatnio też pojawia się w aplikacjach telemetria.

              Witaj!

              Niedługo wyłaczymy stare logowanie.
              Logowanie będzie możliwe tylko przez 1Login.

              Połącz konto już teraz.

              Zaloguj przez 1Login