Исследователи кибербезопасности обнаружили, что два популярных продукта Android TV Box продаются в Интернете с предустановленным вредоносным ПО.
По словам исследователя кибербезопасности Даниэля Милишича, вредоносное ПО приносит злоумышленникам доход, молча нажимая на рекламу без ведома или согласия владельцев.
Милишич отправился на Amazon, чтобы купить AllWinner T95, популярную телевизионную приставку с рейтингом четыре из пяти звезд и множеством отзывов. Телевизионная приставка имеет несколько потоковых сервисов, может быть настроена и считается хорошей ценностью, учитывая ее относительно низкую цену (около 40 долларов США без учета доставки).
Впечатляет и тревожит
Однако вскоре после получения статьи Милишич обнаружил, что инструмент взаимодействует с C2-сервером и ожидает конкретных указаний. Более глубокое расследование показало, что устройство подключено к более крупной бот-сети, охватывающей бесчисленное количество устройств по всему миру. Инструкция заключалась в том, чтобы загрузить вредоносное ПО второй стадии, которое выполняет мошенничество с рекламными кликами.
После публикации его результатов на GitHub другие исследователи поддержали его, в том числе исследователь безопасности EFF Билл Бадингтон, который не только подтвердил выводы MIlisic, но также сказал, что другие устройства делают то же самое. Вот некоторые из зараженных устройств: AllWinner T95Max, RockChip X12 Plus и RockChip X88 Pro 10.
Милишич связался с интернет-компанией, на которой размещались серверы C2, и попросил их отключить, и компания быстро подчинилась. Однако, по его словам, ничто не мешает злоумышленникам установить C2-сервер в другом месте и просто продолжать работу.
Говорить с TechCrunchБадингтон не скрывал своего удивления: «Это впечатляющая и тревожная операция, — сказал он.
«Трудно количественно оценить размер этой сети. Что мы действительно знаем, так это то, что везде, куда бы мы ни посмотрели, существуют разные разновидности вредоносных программ Android Trojan, которые загружают вредоносное ПО следующего уровня с тех же IP-адресов, которые в прошлом участвовали в атаках на цепочку поставок».
Исследователи утверждают, что хуже всего то, что средний пользователь на самом деле не знает, как установить или удалить такое программное обеспечение на телевизионных приставках. Для них лучшим способом действий будет простая замена устройств более надежными устройствами. Он считает, что исследователи должны установить более высокие стандарты для реселлеров и более внимательно изучить аппаратное обеспечение.
«Им не разрешается продавать детские игрушки, сделанные из вращающихся лезвий бритвы. Почему мелкие, неизвестные продавцы могут злонамеренно продавать компьютеры без ведома и разрешения владельцев?», — заключил он.
Выше: TechCrunch
