Birkaç hafta önce, Hackread.com bildirdi Amazon’da bulunan kötü amaçlı yazılım bulaşmış bir Android TV kutusu hakkında: T95 TV kutusu. Kutu, Kanadalı bir geliştirici ve güvenlik sistemleri danışmanı Daniel Milisic tarafından keşfedilen önceden yüklenmiş kötü amaçlı yazılım içeriyordu.
Şimdi aynı TV kutusu yine haberlerde ve güvenlik tehditlerini tespit eden kişi Malwarebytes mobil kötü amaçlı yazılım araştırmacısı Nathan Collier. Daha fazla araştırma yapmak için bu cihazı Amazon’dan satın aldı ve anında bu TV kutusuyla ilgili bir şeylerin yanlış olduğunu anladı. Collier, geçiş anahtarının açık veya kapalı olmasına bakılmaksızın kutunun sabitlendiğini keşfetti.
Köklendirme Nedir?
Bilgin olsun, bir Android cihazda köklendirme, en yüksek düzeyde erişim, yani kök elde etme anlamına gelir. Kullanıcının sistem seviyesindeki dizinleri ve dosyaları değiştirmesine izin verir, aksi halde mümkün değildir.
Geliştiriciler, cihazı üretim öncesi aşamada test etmek için bu artırılmış erişime ihtiyaç duyar. Ancak, Android cihazların üretim sırasında rootlanmadığına dikkat edilmelidir. Eğer komut adb (Android Hata Ayıklama Köprüsü) root, üretimin altındaki bir Android cihazında çalıştırılırsa, “adb can run” hatasını görüntüler.
Tersine, köklü bir cihazda, mesaj “root olarak yeniden başlatılıyor” veya “adb zaten root olarak çalışıyor” şeklinde görünür.
Araştırmada Kullanılan Araçlar
Collier, Android Studio’dan Android Debug Bridge, olağanüstü HTTPS yakalama özelliklerine sahip Telerik Fiddler Classic internet trafiği monitörü, bir uygulamanın gereksinimine göre ağ trafiğine izin veren veya engelleyen NoRoot Güvenlik Duvarı uygulaması dahil olmak üzere birkaç araç kullanarak Android TV kutusu üzerindeki araştırmasını gerçekleştirdi. ve LogCat komut satırı aracı.
Araştırmanın TV95 TV Box Üzerinde Yapılması
Collier, DGBLuancher’ın APK’nın Corejava class.dex’i yüklemesinden ve çalıştırmasından sorumlu olduğunu varsaydı. Collier, bu hipotezi kanıtlamak için DGBLuancher’ı kaldırdı ve Corejavaclass.dex’i korudu. Kötü amaçlı trafik, DGBLuancher, Ergo, Corejava class.dex olmadan hemen durduruldu.
Collier daha sonra DGBLuancher’ı yeniden yükledi ve bu kez Corejava class.dex’i de kaldırdı, ancak yine kötü amaçlı trafik durdu ve yeni trafik üretilmedi. Bu, trafiğin üretilmesi için Corejava sınıfları.dex’i gerektirdiği anlamına gelir. Dolayısıyla Collier, DGBLuancher’ın Corejava class.dex’i yükleyen APK olduğu sonucuna vardı.
Daha sonra Collier, Corejava sınıflarını /data/system/Corejava’dan sildi, ancak yeniden başlatmanın hemen ardından yeniden ortaya çıktı ve DGBLuancher kaldırıldığında Corejava sınıfları.dex’in yeniden görüntülenmesi durdu. Bu, DGBLuancher’ın Corejavaclass.dex’i oluştururken suçlu olduğu hipotezini güçlendirdi.
Şimdi Corejvaclass.dex’in neden yeniden ortaya çıktığını öğrenmesi gerekiyordu. Collier, system_server’ın arka planda /data/system/Corejava oluşturmaktan daha fazla komut çalıştırdığını öğrendi. DGBLuancher, Corejava sınıfları.dex’i oluşturmak için system_server’ı kullandı, yani suçlu değil kanaldı. Collier, Corejava sınıfları.dex’in neden yeniden ortaya çıktığını belirleyemedi.
Sorun Nasıl Düzeltilir?
İçinde Blog yazısı, Collier, sorunu çözmeye devam etmeden önce fabrika ayarlarına sıfırlamanızı önerir. Fabrika ayarlarına sıfırlama, bu süre zarfında indirilmiş olabilecek kötü amaçlı yazılımları kaldıracaktır. Daha sonra, adb’yi bir Linux, Windows veya Mac ortamına yükleyene ve kutuyu Geliştirici Moduna geçirene kadar kutuyu bir ağa bağlamaktan kaçının.
Adb’yi yüklemek için USB0 cihaz modunu açın. PC’nizi kutuya bağlayın, PC’de Komut İstemi gibi bir terminal açın ve bir kimlik numarası ve bağlı cihazların bir listesini görüntüleyecek adb cihazları yazın. Artık DGBLuancher’ı kaldırabilirsiniz. Ayrıntılı bir düzeltme süreci için Nathan Collier’ın Malwarebytes’teki bloguna göz atın.
Daha Önceden Yüklenmiş Kötü Amaçlı Yazılım Haberleri
- Dünya çapında IoT cihazlarını ve Android TV’yi hedefleyen kötü amaçlı yazılım
- Android Akıllı TV’leri ve Telefonları Etkileyen Monero Madenciliği Kötü Amaçlı Yazılımı
- Hacklenen Android telefonlar, sahte reklam görünümleri için TV ürünlerini taklit etti
- Amazon Fire TV, Fire TV Stick kripto madenciliği yapan Android kötü amaçlı yazılımı tarafından vuruldu