Kanadalı bir sistem yöneticisi, Amazon’dan satın alınan bir Android TV kutusunun, aygıt yazılımına yerleştirilmiş kalıcı, gelişmiş kötü amaçlı yazılımlarla önceden yüklendiğini keşfetti.
Kötü amaçlı yazılım, kullanıcıların yükü geçersiz kılmasına ve C2 (komut ve kontrol) sunucusuyla iletişimini durdurmasına yardımcı olacak bir komut dosyası ve talimatlar oluşturan Daniel Milisic tarafından keşfedildi.
Söz konusu cihaz, Amazon, AliExpress ve diğer büyük e-ticaret platformlarında yaygın olarak bulunan AllWinner T616 işlemcili T95 Android TV kutusudur.
Bu tek cihazın etkilenip etkilenmediği veya bu model veya markanın tüm cihazlarının kötü amaçlı bileşeni içerip içermediği açık değildir.
TV akış kutusundaki kötü amaçlı yazılım
T95 akış cihazı, test anahtarlarıyla imzalanmış Android 10 tabanlı bir ROM ve Ethernet ve WiFi üzerinden açık ADB (Android Hata Ayıklama Köprüsü) kullanır.
ADB, sınırsız dosya sistemi erişimi, komut yürütme, yazılım yükleme, veri değiştirme ve uzaktan kontrol amacıyla cihazlara bağlanmak için kullanılabildiğinden, bu şüpheli bir yapılandırmadır.
Bununla birlikte, çoğu tüketici akış cihazı bir güvenlik duvarının arkasında oturduğundan, tehdit aktörleri muhtemelen ADB’ye uzaktan bağlanamaz.
Milisic, bu cihazı başlangıçta, cihazları yazılım yüklemeden istenmeyen içerikten, reklamlardan ve kötü amaçlı sitelerden koruyan Pi-hole DNS çukurunu çalıştırmak için satın aldığını söylüyor.
Milisic, Pi-hole’daki DNS isteğini analiz ederken, cihazın etkin kötü amaçlı yazılımla ilişkili birkaç IP adresine bağlanmaya çalıştığını keşfetti.
Milisic, cihaza yüklenen kötü amaçlı yazılımın, ilk olarak 2017’de Check Point tarafından keşfedilen gelişmiş bir Android kötü amaçlı yazılımı olan ‘CopyCat’ olduğuna inanıyor. Bu kötü amaçlı yazılım daha önce, operatörlerine 1.500.000 doların üzerinde kâr sağlamak için 14 milyon Android cihazına bulaştığı bir reklam yazılımı kampanyasında görüldü.
Analist bir GitHub gönderisinde “Trafik izlemek için ‘tcpflow’ ve ‘nethogs’ kullanan kötü amaçlı yazılım katmanlarının üzerinde katmanlar buldum ve daha sonra ROM’dan kaldırdığım rahatsız edici işleme/APK’ye kadar izini sürdüm” diye açıklıyor.
“İzleyemediğim son kötü amaçlı yazılım parçası, ‘system_server’ sürecini enjekte ediyor ve görünüşe göre ROM’a derinden işlenmiş.”
Analist, kötü amaçlı yazılımın ‘ycxrl.com’, ‘cbphe.com’ ve ‘cbpheback.com’dan ek yükler almaya çalıştığını gözlemledi.
Kötü amaçlı olanı değiştirecek temiz bir ROM bulmak da bir o kadar zor olduğundan Milisic, istekleri engellemek için Pi-hole web sunucusu aracılığıyla yönlendirmek üzere C2’nin DNS’sini değiştirmeye başvurdu.
T95 kullanıcılarının, cihazlarını temizlemek ve üzerinde çalışan kötü amaçlı yazılımı geçersiz kılmak için şu iki basit adımı izlemeleri önerilir:
- Kurtarma moduna yeniden başlayın veya ayarlar menüsünden “Fabrika Ayarlarına Dön” gerçekleştirin.
- Yeniden başlatmanın ardından, USB veya WiFi-Ethernet aracılığıyla ADB’ye bağlanın ve bu komut dosyasını çalıştırın.
Kötü amaçlı yazılımın zararsız hale getirildiğini doğrulamak için “adb logcat | grep Corejava” ve şunu doğrulayın: chmod komut yürütülemedi.
Bununla birlikte, bu cihazlar Amazon’da oldukça ucuz olduğundan, maddi gücünüz yetiyorsa bunları kullanmayı bırakmak daha akıllıca olabilir.
Belirsiz bir elektronik pazarı
Ne yazık ki, bu ucuz Android tabanlı TV kutusu cihazları, Çin’de üretimden küresel pazarda bulunabilirliğe kadar belirsiz bir yol izliyor.
Çoğu durumda, bu cihazlar, nereden geldiklerine dair net bir gösterge olmaksızın, birden çok marka ve cihaz adı altında satılmaktadır.
Ayrıca, cihazlar genellikle birçok elden geçtiğinden, satıcılar ve yeniden satıcılar, cihazlara potansiyel olarak kötü niyetli olan özel ROM’lar yüklemek için çeşitli fırsatlara sahiptir.
Çoğu e-ticaret sitesinin kötü amaçlı yazılımla önceden yüklenmiş cihazların satışını önleme politikaları olsa bile, tüm elektronik cihazları inceleyerek ve karmaşık kötü amaçlı yazılımlardan arınmış olduklarını onaylayarak bu kuralları uygulamak neredeyse imkansızdır.
Bu tür risklerden kaçınmak için Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV ve Roku Stick gibi saygın satıcılardan akış cihazları seçebilirsiniz.
BleepingComputer, Amazon’da listelenen satıcıyla bağlantı kurmaya çalıştı ancak markayla ilişkili herhangi bir web sitesi veya e-posta adresi bulamadı.