(Новость) Китайские TV-приставки на базе Android продаются с предустановленным вредоносным ПО

Несколько популярных моделей ТВ-приставок на Android, которые в данный момент продаются на Amazon, прямо из коробки содержат вредоносное ПО, способное выполнять целый перечень зловредных действий. Об этом сообщили независимые исследователи безопасности.

Телевизионные Android-приставки позволяют пользователям смотреть различный стриминговый контент с популярных платформ, а также устанавливать стороннее программное обеспечение, дающее доступ к горам бесплатного контента. Подобные приставки относительно дешёвые и пользуются большой популярностью в странах СНГ.

Китайские компании AllWinner и RockChip могут быть неизвестны широкой публике, но их продукция имеет высокие рейтинги и тысячи положительных отзывов на Amazon и AliExpress.

Однако исследователи обнаружили, что именно эти приставки зачастую продаются с предустановленным вредоносным ПО, которое может подключать их к ботнету — сети зараженных устройств, которые могут использоваться для майнинга криптовалюты, кражи данных или организации DDoS-атак на другие сайты и серверы.

Исследователь безопасности Дэниел Милисич купил приставку AllWinner T95 для личного пользования и весьма быстро обнаружил , что прошивка устройства была заражена вредоносным ПО. Милисич выяснил, что приставка сразу же после включения связывалась с C2-серверами и получала от них инструкции.

Расследование, которое Милисич опубликовал на GitHub , показало, что приобретённая им модель приставки T95 была частью большого ботнета из тысяч других зараженных телевизионных приставок в домах и рабочих офисах по всему миру.
Исследователь сообщил, что основная задача встроенного вредоносного ПО — это кликбот. То есть код, который генерирует доход от рекламы, незаметно нажимая на объявления в фоновом режиме. «Но из-за того, как спроектировано вредоносное ПО, его авторы могут отправлять любой код», — заявил Милисич.

Билл Бадингтон, исследователь безопасности из EFF , независимо подтвердил выводы Милисича после того, как также купил зараженное устройство на Amazon. Несколько других моделей AllWinner и RockChip также содержат предустановленное вредоносное ПО, включая AllWinner T95Max, RockChip X12 Plus и RockChip X88 Pro 10.

Забавно, что именно эти модели ТВ-приставок крайне распространены в России и других странах СНГ, так как в огромном количестве продаются на AliExpress. Неясно, кто ответственен за установку вредоносного ПО, производитель или конкретный продавец на Amazon, но заказывать аналогичные приставки в личное пользование нужно с большой осторожностью.

А если покупка уже состоялась, стоит проверить устройство на наличие вирусов специальным софтом и удалить его, если такая возможность есть. Как альтернатива, приставку можно перепрошить на более безопасную версию программного обеспечения, благо таких прошивок полно на разнообразных русскоязычных форумах для энтузиастов.

Милисич смог связаться с интернет-компанией, которая занималась хостингом вредоносных серверов для управления ботнетом, и вскоре она отключила их. Однако исследователь предупредил, что ботнет может вернуться в любой момент с новой инфраструктурой.

«Неизвестно, насколько большим является ботнет. Сложно оценить масштаб этой сети. То, что мы знаем точно — это то, что где бы мы ни посмотрели, мы видим разные варианты троянов для Android, которые загружают следующий этап вредоносного ПО с одного и того же набора IP-адресов, которые ранее были замешаны в атаках на цепочку поставок. Это впечатляющая и тревожная операция», — заявил Билл Бадингтон.

На момент публикации новости зараженные модели AllWinner и RockChip все еще доступны для продажи на Amazon.


Источник: https://www.securitylab.ru/news/538285.php