En canadisk systemsikkerhedskonsulent har opdaget, at en Android TV-boks købt fra Amazon var forudindlæst med en permanent, sofistikeret malware som var lagt ind i firmwaren.
Malwaren som blev opdaget af Daniel Milisic, oprettede et script og instruktioner til at hjælpe brugerne med at annullere nyttelasten og stoppe dens kommunikation med C2 -serveren (kommando og kontrol).
Den pågældende enhed er T95 Android TV-boksen med en AllWinner T616-processor. Den er blevet solgt på bl.a. Amazon, Google, Ebay, AliExpress og mange andre store e-handelsplatforme. Også andre handelsnavne som Turewell indeholder den samme hardware.
Det er uklart, om denne enkelt enhed blev påvirket, eller om alle enheder fra denne model eller mærket inkluderer den ondsindede komponent.
Malware på tv-streamingboksen
T95-streamingenheden bruger en Android 10-baseret ROM, der er signeret med testnøgler, og ADB (Android Debug Bridge), der er åben via Ethernet og WiFi.
Dette er en mistænkelig konfiguration, da ADB kan bruges til at oprette forbindelse til enheder for ubegrænset filsystemadgang, kommandoudførelse, softwareinstallation, dataændring og fjernbetjening.
Men da de fleste forbrugerstreamingenheder sidder bag en firewall, vil trusselsaktører sandsynligvis ikke være i stand til at oprette forbindelse til ADB eksternt.
Milisic siger, at han oprindeligt købte denne enhed for at køre Pi-hole DNS, som beskytter enheder mod uønsket indhold, reklamer og ondsindede websteder uden at installere software.
Mens han analyserede DNS-anmodningen i Pi-hole, opdagede Milisic, at enheden forsøgte at oprette forbindelse til flere IP-adresser forbundet med aktiv malware.
Muligvis en copy af Copycat
Milisic mener, at malwaren, der er installeret på enheden, er en stamme, der ligner ‘CopyCat’, der er en sofistikeret Android-malware. Denne malware blev tidligere set i en adware-kampagne, hvor den inficerede 14 millioner Android-enheder for at give sine operatører over $ 1,500,000 i overskud.
Analytikeren testede fase 1 malware-prøven på VirusTotal, hvor den kun returnerer 13 detektioner ud af 61 AV-motorscanninger, klassificeret med det generiske udtryk for en Android trojan downloader.
“Jeg fandt lag oven på lag af malware ved hjælp af ‘tcpflow’ og ‘nethogs’ til at overvåge trafik og sporede det tilbage til den krænkende proces / APK, som jeg derefter fjernede fra ROM’en,” forklarer analytikeren i sit GitHub-indlæg.
“Den sidste smule malware, jeg ikke kunne spore, injicerer ‘system_server’ -processen og ser ud til at være lagt dybt ind i ROM.”
Analytikeren observerede, at malware forsøgte at hente yderligere nyttelast fra ‘ycxrl.com’, ‘cbphe.com’ og ‘cbpheback.com’.
Fordi det er lige så udfordrende at finde en ren ROM til at erstatte den ondsindede, tyede Milisic til at ændre DNS på C2 for at dirigere anmodningerne via Pi-hole-webserveren, hvilket gjorde det muligt at blokere dem.
Brugere af T95 anbefales at følge disse to enkle trin for at rense deres enhed og annullere den malware, der kører på den:
- Genstart i gendannelsestilstand eller udfør “Fabriksindstilling” fra indstillingsmenuen.
- Ved genstart skal du oprette forbindelse til ADB via USB eller WiFi-Ethernet og køre dette script.
For at bekræfte, at malware er blevet gjort harmløs, kør “adb logcat | grep Corejava” og kontrollere, at chmod-kommandoen ikke kunne udføres.
Men da disse enheder er ret billige på Amazon, kan det være klogere at stoppe med at bruge dem, hvis du har råd til at gøre det, siger udvikleren.
Et tvetydigt elektronikmarked
Desværre følger disse billige Android-baserede tv-boksenheder en ukendt rute fra fremstilling i Kina til global markedstilgængelighed.
I mange tilfælde sælges disse enheder under flere mærker og enhedsnavne uden nogen klar angivelse af, hvor de stammer fra.
Da enhederne ofte flyder gennem mange hænder, har leverandører og videresælgere desuden flere muligheder for at indlæse brugerdefinerede ROM’er på enhederne, og måske flere potentielt ondsindede.
Selvom de fleste e-handelswebsteder har politikker for at forhindre salg af enheder, der er forudindlæst med malware, er det praktisk talt umuligt at håndhæve disse regler ved at undersøge al elektronik og bekræfte, at de er fri for sofistikeret malware.
For at undgå sådanne risici kan du vælge streamingenheder fra velrenommerede leverandører som Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV og Roku Stick.
Kilde: Bleeping Computer
Fotokredit: Amazon