I popolari box TV Android venduti su Amazon sono intrisi di malware

AllWinner e RockChip potrebbero non essere nomi familiari, ma le due società con sede in Cina alimentano diversi box TV Android molto popolari venduti su Amazon.
Questi set-top box televisivi basati su Android sono in genere economici e altamente personalizzabili, raggruppando diversi servizi di streaming in un unico dispositivo, anziché acquistare hardware separato.
Le loro inserzioni su Amazon vantano valutazioni di quattro stelle su cinque e hanno collezionato migliaia di recensioni lodevoli.
Ma i ricercatori di sicurezza affermano che i modelli sono venduti precaricati con malware in grado di lanciare attacchi informatici coordinati.
L'anno scorso, Daniel Milisic ha acquistato un set-top box AllWinner T95 e ha scoperto che il firmware del chip era infetto da malware.
Milisic ha scoperto che il set-top box basato su Android stava comunicando con i server di comando e controllo e attendeva istruzioni su cosa fare dopo.
La sua indagine in corso, che ha pubblicato su GitHub, ha scoperto che il suo modello T95 si connetteva immediatamente a una botnet più grande di migliaia di altri TV box Android infetti da malware nelle case e negli uffici di tutto il mondo.
Milisic ha affermato che il payload predefinito del malware è un clickbot, essenzialmente un codice che genera denaro pubblicitario toccando di nascosto gli annunci in background.
Dopo che i box Android TV interessati sono stati accesi, il malware precaricato contatta immediatamente un server di comando e controllo, ottiene le sue istruzioni su dove trovare il malware di cui ha bisogno e invia ulteriori payload al dispositivo che esegue la frode dei clic sugli annunci.
"Ma a causa del modo in cui è progettato il malware, gli autori possono distribuire qualsiasi payload che preferiscono", ha detto Milisic a TechCrunch.
Il ricercatore di sicurezza EFF Bill Budington ha confermato in modo indipendente le scoperte di Milisic dopo aver acquistato anche un dispositivo interessato da Amazon.
Anche diversi altri modelli di Android TV AllWinner e RockChip sono precaricati con il malware, tra cui AllWinner T95Max, RockChip X12 Plus e RockChip X88 Pro 10.
Uno screenshot dell'AllWinner T95 elencato su Amazon.
Crediti immagine: TechCrunch (screenshot) Le botnet sono generalmente costituite da centinaia, se non migliaia o milioni, di dispositivi compromessi in tutto il mondo.
Gli operatori dietro la botnet possono utilizzare questa vasta rete dannosa per estrarre criptovaluta su un dispositivo interessato, rubare dati (se presenti) dal dispositivo o dalla rete a cui è connesso o sfruttare la larghezza di banda Internet collettiva da questi dispositivi per prendere a pugni altri siti Web e server Internet con traffico indesiderato, noto come attacco denial-of-service distribuito, che li mette offline.
Milisic ha chiesto alla società Internet che ospitava i server di comando e controllo che fornivano istruzioni alla botnet più ampia di mettere offline quei server e i server che ospitavano il malware del clic sugli annunci sono scomparsi poco dopo.
Ha avvertito, tuttavia, che la botnet potrebbe tornare in qualsiasi momento con una nuova infrastruttura.
Non è chiaro quanto sia grande la botnet.
"È difficile quantificare la portata di questa rete", ha dichiarato Budington a TechCrunch.
“Quello che sappiamo è che ovunque guardiamo ci sono diverse varianti di malware trojan Android che scaricano malware di fase successiva dallo stesso set di IP, quelli che sono stati coinvolti in attacchi alla catena di approvvigionamento in passato.
È un'operazione impressionante e inquietante.
Milisic e Budington notano che non esiste un modo semplice per rimuovere il malware per l'utente medio.
Eliminare del tutto la scatola potrebbe essere l'opzione migliore per gli utenti interessati.
"Penso che l'unico modo per mitigare questo problema sia mantenere i rivenditori a uno standard più elevato", ha detto Milisic a TechCrunch.
Riferendosi a venditori online come Amazon, "non sono autorizzati a vendere giocattoli per bambini realizzati con lame di rasoio rotanti, perché va bene lasciare che venditori piccoli e sconosciuti vendano computer che agiscono in modo dannoso senza la conoscenza e il permesso dei proprietari?" Quando è stato raggiunto da TechCrunch, il portavoce di Amazon, Adam Montgomery, ha rifiutato di dire se Amazon esamina la sicurezza dei dispositivi che vende o se prevede di rimuovere dalla vendita i dispositivi contenenti malware in questione.
AllWinner e RockChip non hanno risposto alle richieste di commento.
C'è stata una spinta negli ultimi anni per migliorare gli standard di sicurezza hardware.
L'amministrazione Biden ha affermato che quest'anno prevede di implementare un sistema di etichettatura per i dispositivi connessi a Internet come parte degli sforzi per incoraggiare i produttori di dispositivi a migliorare la sicurezza dei propri dispositivi, come l'aggiunta di meccanismi di aggiornamento per correggere i difetti di sicurezza.
Nel 2018, la California ha approvato una legge che vieta ai dispositivi connessi a Internet di utilizzare password predefinite e facili da indovinare, che i malintenzionati usano spesso per hackerare i dispositivi e intrappolarli in una botnet.
Al momento in cui scriviamo, i modelli AllWinner e RockChip interessati sono ancora disponibili per la vendita su Amazon.
Gli Stati Uniti lanceranno un programma di valutazione "etichettatura" per i dispositivi connessi a Internet nel 2023 I popolari box TV Android venduti su Amazon sono intrisi di malware di Zack Whittaker originariamente pubblicato su TechCrunch