TV box vendido na Amazon e AliExpress esconde sofisticado malware pré-instalado

t95-android-tv-box-vendido-na-amazon-e-aliexpress-esconde-sofisticado-malware-pre-instalado

O T95 Android TV box, disponível para venda na Amazon e AliExpress, continha um sofisticado malware pré-instalado. Essa descoberta foi feita pelo pesquisador de segurança, Daniel Milisic.

Esse TV box Android comercializado nos dois sites estava disponível por apenas $ 40 (cerca de R$ 221,70). Daniel Milisic o comprou e logo descobriu o malware pré-instalado. O dispositivo veio com Android 10 (com a Play Store funcionando) e um processador Allwinner H616. Milisic descobriu malware pré-carregado em seu firmware.

T95 Android TV box com malware pré-instalado

Milisic comprou a TV box Android T95 para executar o Pi-hole, que é um anúncio ao nível de rede Linux e um aplicativo de bloqueio de rastreador da Internet. No entanto, após executar o Pi-hole, ele percebeu que o dispositivo estava alcançando endereços associados a campanhas de malware.

t95-android-tv-box-vendido-na-amazon-e-aliexpress-esconde-sofisticado-malware-pre-instalado
Imagem: Reprodução | Security Affairs

Após procurar sem sucesso por uma ROM limpa, decidi remover o malware em um último esforço para tornar o T95 útil. Encontrei camadas sobre camadas de malware usando tcpflow e nethogs para monitorar o tráfego e rastreei-o até o processo/APK ofensivo que removi da ROM.

Ainda de acordo com Milisic,

A parte final do malware que não consegui rastrear injeta o processo system_server e parece estar profundamente inserido na ROM. É um malware bastante sofisticado, semelhante ao CopyCatin na forma como opera. Não foi encontrado por nenhum dos produtos AV que experimentei – se alguém puder oferecer orientação sobre como encontrar esses ganchos no system_server, informe-me aqui ou via PM.

O dispositivo usa um sistema operacional Android 10 que foi assinado com chaves de teste. O especialista também descobriu ter o Android Debug Bridge (ADB) acessível através da porta Ethernet. O código malicioso embutido no firmware do dispositivo age como o malware Android CopyCat.

Mlisic também desenvolveu um truque para bloquear o malware usando o Pi-hole para alterar o DNS do servidor de comando e controle, YCXRL.COM para 127.0.0.2. Ele também criou uma regra de iptables para redirecionar todo o DNS para o Pi-hole, pois o malware usará o DNS externo se não conseguir resolver.

Ele revelou que “ao fazer isso, o servidor C&C acaba acessando o servidor Pi-hole em vez de enviar meus logins, senhas e outras PII para um Linode em Cingapura (atualmente 139.162.57.135 no momento da escrita)”.

Código malicioso não removido

O Security Affairs lembra que, a solução proposta pela Milisic não remove o código malicioso nem o desativa, apenas o neutraliza interferindo no seu funcionamento. Assim, para determinar se o T95 Android TV Box foi infectado, o pesquisador recomenda verificar a presença de uma pasta chamada: /data/system/Corejava e um arquivo chamado /data/system/shared_prefs/open_preference.xml.

O Milisic não conseguiu testar outros dispositivos do mesmo fornecedor ou modelo para determinar se o firmware também estava infectado.