Te popularne urządzenia z Android TV są dostarczane ze złośliwym oprogramowaniem!
Zapewne wielu z Was kojarzy sytuację, gdzie ktoś posiada nadal sprawny telewizor, ale nie posiada Smart TV. W takim przypadku najczęściej dokonywany jest zakup urządzenia z systemem Android TV. A co, jeżeli część tych sprzętów posiada zainstalowane szkodliwe oprogramowanie?
Analitycy cyberbezpieczeństwa odkryli, że kilka popularnych produktów typu „Android TV Box” jest sprzedawanych, z fabrycznie zainstalowanym złośliwym oprogramowaniem. A w jakim celu jest ono tam instalowane? Badacz cyberbezpieczeństwa Daniel Milisic uznał, że jest to wygodna metoda na generowanie przychodów dla atakujących (poprzez klikanie reklam w tle, bez wiedzy i zgody właścicieli). Jak w ogóle odnalazł to oprogramowanie?
Daniel Milisic przeglądał sklep Amazon, w poszukiwaniu urządzeń typu Smart TV Box. Odnalazł on bardzo popularny AllWinner T95, który posiadając masę pozytywnych komentarzy oraz ocenę cztery na pięć gwiazdek, kosztował około 40 dolarów. Postanowił zamówić ten sprzęt i sprawdzić, skąd wynika ta cena.
Milisic odkrył, że narzędzie komunikuje się z serwerem Command & Control (z ang. Dowodzenia i Kontroli) i oczekuje na określone instrukcje. Dokładniejsze dochodzenie wykazało, że urządzenie łączy się z szerszym botnetem, obejmującym farmę urządzeń na całym świecie. Instrukcje dotyczyły pobrania złośliwego oprogramowania, które dokonuje oszustw związanych z kliknięciami reklam.
Serwery Command & Control – Czym są i jaka jest ich rola we współczesnych cyberatakach?
Jak podaje strona kapitanhack.pl „Obecnie większość szkodliwego oprogramowania wymaga kogoś lub czegoś do wydawania mu zdalnych poleceń oraz odbierania skradzionych danych. Robią to właśnie serwery C2. Najbardziej niezawodne malware korzystają z ręcznie sterowanych serwerów C2 i nie wykorzystują do tego sztucznej inteligencji. Bez względu na to, czy serwer i jego operator kieruje botnetem czy odbiera skradzione informacje, umożliwia komunikację poprzez Internet między atakującym, a celem ataku. To właśnie podstawowa rola i funkcjonalność C&C. Sterowne może być jedno zainfekowane urządzenie, setki urządzeń w jednej sieci lub setki tysięcy urządzeń rozproszonych po całym Internecie.”
Trojany na Smart TV Box – zaifekowanych urządzeń jest więcej
Po opublikowaniu swoich ustaleń na platformie GitHub, inni specjaliści również włączyli się w dalsze badanie tego typu urządzeń. Jednym z nich był Bill Budington, który nie tylko potwierdził ustalenia MIlisica, ale także odkrył istnienie sprzętów, które działają na podobnej zasadzie. Są to: AllWinner T95Max, RockChip X12 Plus oraz RockChip X88 Pro 10.
Poruszony wątek na platformie Reddit
Milisic skontaktował się z firmą hostingową, na której pracowały serwery C2. Wytłumaczył im z jakiej przyczyny do nich pisze i poprosił o wyłączenie wspomnianych wcześniej serwerów. Choć sama firma błyskawicznie zareagowała na zgłoszenie, to sam Milisic stwierdził, że nic nie stoi na przeszkodzie, aby ugrupowania cyberprzestępcze postawiły serwer C2 w innym miejscu i po prostu kontynuowały swoją działalność.
W rozmowie z TechCrunch Budington nie ukrywał swojego zdumienia:
To imponująca i niepokojąca operacja […] Trudno jest oszacować skalę tej sieci. Wiemy jednak, że wszędzie, gdzie spojrzymy, istnieją różne warianty trojana dla systemu Android, które pobierają złośliwe oprogramowanie następnego etapu z tego samego zestawu adresów IP, które w przeszłości brały udział w atakach na łańcuch dostaw.
Najgorsze w tym wszystkim jest to, że przeciętny użytkownik tak naprawdę nie wie, jak zainstalować lub usunąć takie oprogramowanie ze swoich Smart TV Box’ów. Dla tych osób najlepszym rozwiązaniem byłoby po prostu zastąpienie urządzeń czymś bardziej godnym zaufania – chociażby tych z naszego rankingu.
Linus Tech Tips również o podobnym zjawisku wspominał na swoim kanale
Zdaniem badaczy, platformy typu Amazon powinny wymagać od sprzedawców wyższego standardu i dokładniej przyglądać się oferowanemu przez nich sprzętowi. Mówią:
Nie wolno im [sprzedawcom] sprzedawać zabawek dla dzieci, wykonanych z obracających się żyletek. Dlaczego można pozwolić małym, nieznanym sprzedawcom sprzedawać komputery działające złośliwie bez wiedzy i zgody właścicieli?
A czy Wy korzystacie z „chińskich” przystawek typu Smart TV? A może nadal używacie tego, co jest domyślnie zainteresowane w telewizorze? Dajcie znać w komentarzach!
Źródło: techradar.pro; TechCrunch; kapitanhack.pl
Komentarze
15Koncerny mogą szpiegować, postarzać sprzęt. Kraść i oszukiwac bo są wielkie ???
Podobnie ludzie, wybrane kilka procent będzie mieć własne samoloty, ferrari i generować 25% zanieczyszczeń.
A Jas Kowalki raz w roku poleci samolotem, będzie skazany na rower . będzie żarł robaczki ???
Wiecie że niewolnicy w starożytnym Rzymie mieli lepiej ???
A dlaczego zezwalać dużym producentom sprzedawać urządzenia z bloatware? Nie można ich odinstalować, rootowanie często wiąże się z problemami chociażby w płatnościach.
Dlaczego zezwalamy na regionalizację przy dystrybucji wideo, gdy obecnie wszystko odbywa się cyfrowo? Te wszystkie ograniczenia powodują, że ludzie szukają alternatywnych rozwiązań.
A dwa - nie do końca wyjaśniono na czym dokładnie polega to adware. Cośtam o kliknięciach w reklamy, ale co - to użytkownik tego boxa ma wyświetlane te reklamy na telewizorze i musi je zamykać? Czy to takie straszne? Czym to się różni od guano-reklam oferowanych przez google tv czy youtube? Oczywiście wiadomo, że teraz jest "tylko" adware, a w przyszłości może być spyware które np. będzie nagrywać cię z kamerki wbudowanej w telewizor (co legalnie robią producenci), ale na ten moment poważnego zagrożenia nie ma, jedynie chęć zarobku.
No chyba, że ten box jest na tyle smart, że potrafi np. zainfekować także komputer przez wi-fi. To wówczas szacuneczek dla autorów tego dosłownego "konia trojańskiego" ;)