Na bezpečnostní chybu upozornil kanadský bezpečnostní expert, Daniel Milisic. Postižený výrobek je zařízení pro sledování televize, prodávané pod označením "T95 Android TV box", které je osazené procesorem AllWinner T616. Zařízení je k dispozici na Amazonu, AliExpressu a dalších e-shopech.
Daniel malware objevil ve firmwaru zařízení a v tuto chvíli stále není jasné, zda se jednalo pouze o konkrétní zakoupený kus, či zda malware obsahují všechna zařízení tohoto modelu nebo značky.
Při nastavování softwaru Pi-Hole, který je užitečným blokátorem reklam, ale lze využít i jako filtr rodičovské ochrany, si kanadský expert všiml pochybných aktivit zařízení. Při analýze DNS dotazů zjistil, že se systém snaží připojit k několika IP adresám, které vedly k malwaru.
Androidový TV Box: zařízení postižené známým malwarem
Podobná zařízení, na jaké upozornil kanadský expert, se například na Amazonu prodávají za cenu kolem 30 USD, což je v přepočtu zhruba 700 Kč. Původ levných zařízení je ale často nejasný. Proto je lepší sáhnout po osvědčené značce. | Zdroj: Ash Edmonds/Unsplash
Daniel Milisic, který malware objevil, se domnívá, že škodlivý kód je odnoží programu CopyCat. To je sofistikovaný malware pro Android, který byl poprvé objeven v roce 2017. Už dříve byl také detekován v adwarové kampani, kdy infikoval 14 milionů zařízení se systémem Android a svým provozovatelům vydělal více než půldruhého milionu USD.
Kanadský výzkumník v příspěvku na platformě GitHub vysvětluje: "Našel jsem vrstvy malwaru a vystopoval je zpět k procesu, který spouští útok. Ten jsem poté odstranil z paměti ROM." Poslední část malwaru, kterou se mu už nepodařilo lokalizovat, spouští proces "system_server" a zdá se, že je hluboce zakořeněna v paměti ROM.
Vzhledem k tomu, že výroba androidových zařízení není transparentní, není původ u mnoha modelů jasný. Abyste se vyhnuli rizikům, je vhodné raději sáhnout po renomovaných poskytovatelích.
Nejednoznačný trh s elektronikou
Podobná levná zařízení typu TV box se systémem Android procházejí nejasnou cestou kompletace, od výroby zpravidla v Číně, až po dostupnost na globálním trhu. V mnoha případech se také identická zařízení prodávají pod několika značkami a názvy, aniž by bylo jasné, odkud pocházejí.
Běžně procházejí mnoha firmami, které je buď prodávají přímo koncovým zákazníkům, anebo distribuují dále. Tak samozřejmě vzniká mnoho příležitostí nahrát do zařízení vlastní obsah ROM, který může být potenciálně škodlivý.
Přestože většina e-shopů má zásady, které brání prodeji zařízení s předinstalovaným malwarem, je prakticky nemožné tato pravidla prosadit bez výjimky a kompletně zkontrolovat veškerou elektroniku na přítomnost škodlivého kódu.
Pokud byste se chtěli podobnému riziku vyhnout, je lepší sáhnout po streamovacím zařízení od renomovaných prodejců. Namátkou můžeme uvést Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV nebo Roku Stick.
Zdroj: Bleeping Computer, GitHub, Amazon
7 foto
