O T95 Android TV box, disponível para venda na Amazon e AliExpress, continha um sofisticado malware pré-instalado. Essa descoberta foi feita pelo pesquisador de segurança, Daniel Milisic.
Esse TV box Android comercializado nos dois sites estava disponível por apenas $ 40 (cerca de R$ 221,70). Daniel Milisic o comprou e logo descobriu o malware pré-instalado. O dispositivo veio com Android 10 (com a Play Store funcionando) e um processador Allwinner H616. Milisic descobriu malware pré-carregado em seu firmware.
T95 Android TV box com malware pré-instalado
Milisic comprou a TV box Android T95 para executar o Pi-hole, que é um anúncio ao nível de rede Linux e um aplicativo de bloqueio de rastreador da Internet. No entanto, após executar o Pi-hole, ele percebeu que o dispositivo estava alcançando endereços associados a campanhas de malware.
Após procurar sem sucesso por uma ROM limpa, decidi remover o malware em um último esforço para tornar o T95 útil. Encontrei camadas sobre camadas de malware usando tcpflow e nethogs para monitorar o tráfego e rastreei-o até o processo/APK ofensivo que removi da ROM.
Ainda de acordo com Milisic,
A parte final do malware que não consegui rastrear injeta o processo system_server e parece estar profundamente inserido na ROM. É um malware bastante sofisticado, semelhante ao CopyCatin na forma como opera. Não foi encontrado por nenhum dos produtos AV que experimentei – se alguém puder oferecer orientação sobre como encontrar esses ganchos no system_server, informe-me aqui ou via PM.
Notícias Relacionadas
Segurança Ubuntu
Ubuntu corrige vulnerabilidades de memória no Vim: atualize agora
Duas vulnerabilidades foram encontradas no Vim, afetando várias versões do Ubuntu. Para proteger seu sistema, atualize para a versão mais recente e evite riscos de execução de código ou negação de serviço.
Alerta urgente
Alerta urgente: CISA recomenda correção de vulnerabilidades até setembro
A CISA emitiu um alerta sobre três vulnerabilidades críticas em softwares populares, como ImageMagick e SonicWall SonicOS. As empresas devem corrigir essas falhas até o final de setembro para evitar ataques cibernéticos.
O dispositivo usa um sistema operacional Android 10 que foi assinado com chaves de teste. O especialista também descobriu ter o Android Debug Bridge (ADB) acessível através da porta Ethernet. O código malicioso embutido no firmware do dispositivo age como o malware Android CopyCat.
Mlisic também desenvolveu um truque para bloquear o malware usando o Pi-hole para alterar o DNS do servidor de comando e controle, YCXRL.COM para 127.0.0.2. Ele também criou uma regra de iptables para redirecionar todo o DNS para o Pi-hole, pois o malware usará o DNS externo se não conseguir resolver.
Ele revelou que “ao fazer isso, o servidor C&C acaba acessando o servidor Pi-hole em vez de enviar meus logins, senhas e outras PII para um Linode em Cingapura (atualmente 139.162.57.135 no momento da escrita)”.
Código malicioso não removido
O Security Affairs lembra que, a solução proposta pela Milisic não remove o código malicioso nem o desativa, apenas o neutraliza interferindo no seu funcionamento. Assim, para determinar se o T95 Android TV Box foi infectado, o pesquisador recomenda verificar a presença de uma pasta chamada: /data/system/Corejava e um arquivo chamado /data/system/shared_prefs/open_preference.xml.
O Milisic não conseguiu testar outros dispositivos do mesmo fornecedor ou modelo para determinar se o firmware também estava infectado.
