Bir Kanada Systems güvenlik danışmanı, Amazon'dan satın alınan bir Android TV kutusunun, ürün yazılımına pişirilmiş kalıcı, sofistike kötü amaçlı yazılımlarla önceden yüklendiğini keşfetti.
Kötü amaçlı yazılım, kullanıcıların yükü geçersiz kılmasına ve C2 (komut ve kontrol) sunucusuyla iletişimini durdurmasına yardımcı olacak bir komut dosyası ve talimatlar oluşturan Daniel Milisic tarafından keşfedildi.
Söz konusu cihaz, Amazon, AliExpress ve diğer büyük e-ticaret platformları aracılığıyla yaygın olarak bulunan bir Allwinner T616 işlemcisi olan T95 Android TV kutusudur.
Bu tek cihazın etkilenip etkilenmediği veya bu model veya markadaki tüm cihazların kötü amaçlı bileşeni içerip içermediği belirsizdir.
T95 akış cihazı, test anahtarlarıyla imzalanmış bir Android 10 tabanlı ROM kullanır ve Ethernet ve WiFi üzerinden ADB (Android Hata Ayıklama Köprüsü) açılır.
ADB, sınırsız dosya sistemi erişimi, komut yürütme, yazılım yüklemesi, veri değişikliği ve uzaktan kumanda için cihazlara bağlanmak için kullanılabileceğinden şüpheli bir yapılandırmadır.
Bununla birlikte, çoğu tüketici akışı cihazı bir güvenlik duvarının arkasında oturduğundan, tehdit aktörleri muhtemelen ADB'ye uzaktan bağlanamayacaktır.
Milisic, başlangıçta bu cihazı, yazılım yüklemeden cihazları istenmeyen içerik, reklam ve kötü amaçlı sitelerden koruyan Pi-delik DNS düdenini çalıştırmak için satın aldığını söyledi.
Pi-delikteki DNS isteğini analiz ederken, Milisic, cihazın etkin kötü amaçlı yazılımlarla ilişkili birkaç IP adresine bağlanmaya çalıştığını keşfetti.
Milisic, cihaza yüklenen kötü amaçlı yazılımın, 2017'de Check Point tarafından ilk kez keşfedilen sofistike bir Android kötü amaçlı yazılım olan 'taklitçi' andıran bir zorlama olduğuna inanıyor. Bu kötü amaçlı yazılım, daha önce 14 milyon Android cihazını operatörlerini yapmak için enfekte ettiği bir reklam yazılımı kampanyasında görüldü. 1,500.000 dolar kar.
Analist, Virustotal üzerindeki aşama-1 kötü amaçlı yazılım örneğini test etti ve burada bir Android Truva indiricisinin jenerik terimi ile sınıflandırılan 61 AV motor taramasından sadece 13 algılamayı döndürdü.
Github Post'taki analisti, "Trafiği izlemek için 'TCPFLOW' ve 'Nethogs' kullanarak kötü amaçlı yazılım katmanlarının üstünde katmanlar buldum ve daha sonra ROM'dan kaldırdığım rahatsız edici işlem/APK'ya kadar izledim."
"İzleyemediğim son kötü amaçlı yazılım biti 'System_server' sürecini enjekte ediyor ve ROM'a derinden pişirilmiş gibi görünüyor."
Analist, kötü amaçlı yazılımın 'ycxrl.com', 'cbphe.com' ve 'cbpheback.com'dan ek yükler almaya çalıştığını gözlemledi.
Kötü niyetin yerini almak için temiz bir ROM bulmak da zor olduğu için, Milisic, Pi-delik web sunucusu aracılığıyla istekleri yönlendirmek için C2'nin DNS'sini değiştirmeye başvurdu ve bunları engellemeyi mümkün kıldı.
T95 kullanıcılarının cihazlarını temizlemek ve üzerinde çalışan kötü amaçlı yazılımları geçersiz kılmak için bu iki basit adımı izlemeleri önerilir:
Kötü amaçlı yazılımın zararsız hale getirildiğini doğrulamak için “ADB Logcat | grep corejava ”ve chmod komutunun yürütülmediğini doğrulayın.
Bununla birlikte, bu cihazlar Amazon'da oldukça ucuz olduğundan, bunu göze alabiliyorsanız bunları kullanmayı durdurmak daha akıllıca olabilir.
Ne yazık ki, bu ucuz Android tabanlı TV kutuları, Çin'deki üretimden küresel pazar mevcudiyetine kadar belirsiz bir yol izliyor.
Birçok durumda, bu cihazlar birden fazla marka ve cihaz adı altında satılır ve nereden geldiklerine dair net bir gösterge yoktur.
Ayrıca, cihazlar genellikle birçok elden aktıkça, satıcılar ve yeniden satıcılar, cihazlara özel ROM'lar yüklemek için potansiyel olarak kötü niyetli olanları yüklemek için çeşitli fırsatlara sahiptir.
Çoğu e-ticaret sitesi, kötü amaçlı yazılımlarla önceden yüklenmiş satış cihazlarını önlemek için politikalara sahip olsa bile, tüm elektronikleri inceleyerek ve sofistike kötü amaçlı yazılımlardan arınmış olduklarını doğrulayarak bu kuralları uygulamak neredeyse imkansızdır.
Bu tür risklerden kaçınmak için Google Chromecast, Apple TV, Nvidia Shield, Amazon Fire TV ve Roku Stick gibi saygın satıcılardan akış cihazlarını seçebilirsiniz.
BleepingComputer, Amazon'da listelenen satıcıyla iletişim kurmaya çalıştı, ancak markayla ilgili herhangi bir web sitesi veya e -posta adresi bulamadı.
GÜNCELLEME 1/13 - Daniel Milisic, BleepingComputer ile keşfedilen kötü amaçlı yazılım hakkında daha fazla bilgi paylaşarak makalede küçük düzeltmeler ve eklemelere yol açtı.
StrongPity Hacker'ları Truva Telegram Uygulaması aracılığıyla Android kullanıcılarını hedefleyin
Spynote android kötü amaçlı yazılım enfeksiyonları kaynak kodu sızıntısından sonra artış
Godfather Android kötü amaçlı yazılım 400 bankayı hedefliyor, kripto borsaları
Yeni 'Zombinder' platformu, Android kötü amaçlı yazılımları meşru uygulamalarla bağlar
Google Play'de 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Kaynak: Bleeping Computer