Kutu, Amazon ve AliExpress’te 40 $ gibi düşük bir fiyata mevcuttur.
Etkilenen cihaz, donanım yazılımına gömülü, gelişmiş, kalıcı ve önceden yüklenmiş kötü amaçlı yazılımla gelen bir T95 Android TV kutusuydu.
Kanadalı bir altyapı ve güvenlik sistemleri danışmanı olan Daniel Milisic, Amazon’dan satın aldığı bir Android TV Kutusunda (bu durumda Android-10 tabanlı TV kutusu) kötü amaçlı yazılım keşfetti. Milisic, kullanıcıların yükü iptal etmelerine ve C2 sunucusuyla iletişim kurmasını engellemelerine yardımcı olacak bir komut dosyası ve kılavuz oluşturdu.
Bulgu Ayrıntıları
Kutu sofistike, kalıcı ve önceden yüklenmiş kötü amaçlı yazılım üretici yazılımına gömülü. Etkilenen cihaz, AllWinner T616 işlemcili bir T95 Android TV kutusuydu. Bu cihaz, Amazon ve AliExpress dahil olmak üzere tüm önde gelen e-ticaret platformlarında 40 $ gibi düşük bir fiyata mevcuttur.
Milisiç konuyla ilgili şu adreste bir paylaşımda bulundu: GitHub ve redditAllwinner h616 yongasını kullanan cihazın Android 10 işletim sistemine test anahtarlarıyla imza attığını ve Android Debug Bridge’i (ADB) açık hale getirdiğini anlatan Prof. Böylece, herhangi bir kullanıcı ona WiFi ve Ethernet üzerinden erişebilir.
Milisic, cihazları istenmeyen reklamlardan, istenmeyen içerikten ve kötü amaçlı sitelerden koruyan bir reklam engelleme yazılımı olan Pi-hole DNS çukurunu çalıştırmayı amaçlıyordu. Ancak, DNS isteğini analiz ettikten sonra yazılım, kutunun bağlanmaya çalıştığı farklı IP adreslerini vurguladı.
Sonuç olarak, kutunun birçok “bilinmeyen, aktif kötü amaçlı yazılım adresine” ulaştığını yazdı. Aynı marka veya modelden birden fazla cihazın etkilenip etkilenmediğini netleştirmedi.
Kötü Amaçlı Yazılım Analizi
Kötü amaçlı yazılım işlemi şuna benzerdi: CopyCat Android kötü amaçlı yazılımı tehdit aktörleri için gelir elde etmek amacıyla uygulamaları yüklemek ve reklamları görüntülemek için cihazları ele geçirir. Milisic, cihazda yüklü başka bir kötü amaçlı yazılım buldu. Adup’lar. Araştırmacı, altmış bir AV motoru taramasından on üç algılama döndüren VirusTotal’daki 1. aşama kötü amaçlı yazılım örneğini taradı.
Daha fazla değerlendirme, trafiği izlemek için nethogs ve tcoflow kullanan çok sayıda kötü amaçlı yazılım katmanını ortaya çıkardı. Daha sonra, rahatsız edici işleme/APK’ya kadar izini sürdü. ROM’dan kaldırdı.
Milisic, “İzleyemediğim son kötü amaçlı yazılım parçası, ‘system_server’ sürecini enjekte ediyor ve ROM’a derinlemesine işlenmiş gibi görünüyor” dedi.
Kötü amaçlı yazılım ayrıca ‘ycxrl.com’, ‘cbphe.com’ ve ‘cbpheback.com’dan ek yükler almaya çalıştı.
Nasıl Korunur?
Milisic, kullanıcılara cihazın “/data/system/Corejava” ve “/data/system/sharedprefs/openpreference.xml” klasörlerini içerip içermediğini öğrenerek kutularının virüslü olup olmadığını kontrol etmelerini önerir. Varsa, kutu tehlikeye girer.
Milisic, GitHub gönderisinde, kötü amaçlı yazılımı kısmen devre dışı bırakmanın en kolay yolunun, saldırganın kontrolündeki sunuculara giden kötü amaçlı yazılım iletişim yolunu bozmak için fişi çekmek olduğunu açıkladı. Milisic, Reddit gönderisinde, kötü amaçlı yazılımı kutuya yeniden yükleyeceği için fabrika ayarlarına sıfırlamanın yardımcı olmayacağını yazdı.
Alakalı haberler
- Dünya çapında IoT cihazlarını ve Android TV’yi hedefleyen kötü amaçlı yazılım
- Android Akıllı TV’leri ve Telefonları Etkileyen Monero Madenciliği Kötü Amaçlı Yazılımı
- Hacklenen Android telefonlar, sahte reklam görünümleri için TV ürünlerini taklit etti
- Amazon Fire TV, Fire TV Stick kripto madenciliği yapan Android kötü amaçlı yazılımı tarafından vuruldu