TV

カナダのシステム管理者は、Amazon から購入した Android TV ボックスのファームウェアに、永続的で洗練されたマルウェアがプリロードされていることを発見しました。

このマルウェアは、Daniel Milisic によって発見されました。Daniel Milisic は、ユーザーがペイロードを無効化し、C2 (コマンド アンド コントロール) サーバーとの通信を停止するのに役立つスクリプトと指示を作成しました。

問題のデバイスは、AllWinner T616 プロセッサを搭載した T95 Android TV ボックスで、 Amazon 、AliExpress、およびその他の主要な e コマース プラットフォームを通じて広く入手できます。

この単一のデバイスが影響を受けたのか、それともこのモデルまたはブランドのすべてのデバイスに悪意のあるコンポーネントが含まれているのかは不明です。

TV ストリーミング ボックスのマルウェア

T95 ストリーミング デバイスは、テスト キーで署名された Android 10 ベースの ROM と、イーサネットと WiFi 経由で開く ADB (Android Debug Bridge) を使用します。

これは疑わしい構成です。ADB を使用してデバイスに接続し、ファイル システムへの無制限のアクセス、コマンドの実行、ソフトウェアのインストール、データの変更、およびリモート コントロールを行うことができるからです。

ただし、ほとんどのコンシューマ ストリーミング デバイスはファイアウォールの背後にあるため、攻撃者はリモートで ADB に接続できない可能性があります。

Milisic 氏によると、最初にこのデバイスを購入したのは、ソフトウェアをインストールすることなく不要なコンテンツ、広告、悪意のあるサイトからデバイスを保護するPi-hole DNS シンクホールを実行するためでした。

Milisic は、Pi-hole で DNS 要求を分析しているときに、デバイスがアクティブなマルウェアに関連付けられた複数の IP アドレスに接続しようとしていることを発見しました。

T95 が接続を試みる悪意のあるドメインのリスト
T95 が接続を試みる悪意のあるドメインのリスト(GitHub)

Milisic は、デバイスにインストールされたマルウェアは、2017 年に Check Point によって最初に発見された洗練された Android マルウェアである「CopyCat」であると考えています。

「「tcpflow」と「 nethogs 」を使用してトラフィックを監視し、それを問題のプロセス/APKにまでさかのぼってマルウェアの層の上に層を見つけ、それをROMから削除しました.

「追跡できなかった最後のマルウェアは、『system_server』プロセスを挿入し、ROM に深く組み込まれているようです。」

アナリストは、マルウェアが「ycxrl.com」、「cbphe.com」、および「cbpheback.com」から追加のペイロードをフェッチしようとしたことを観察しました。

悪意のあるものに代わるクリーンな ROM を見つけることも同様に困難であるため、Milisic は C2 の DNS を変更して、Pi ホール Web サーバー経由でリクエストをルーティングし、リクエストをブロックできるようにしました。

T95 のユーザーは、次の 2 つの簡単な手順に従ってデバイスをクリーンアップし、デバイスで実行されるマルウェアを無効にすることをお勧めします。

  1. リカバリモードで再起動するか、設定メニューから「ファクトリーリセット」を実行してください。
  2. 再起動したら、USB または WiFi-Ethernet 経由で ADB に接続し、 このスクリプトを実行します

マルウェアが無害になったことを確認するには、「 adb logcat | grep Corejava 」を実行します。 adb logcat | grep Corejava 」を実行し、 chmodコマンドの実行に失敗したことを確認します。

ただし、これらのデバイスは Amazon ではかなり安価であるため、余裕がある場合は使用を中止する方が賢明かもしれません。

あいまいなエレクトロニクス市場

残念なことに、これらの安価な Android ベースの TV ボックス デバイスは、中国での製造から世界市場で入手できるようになるまでの不明確なルートをたどっています。

多くの場合、これらのデバイスは複数のブランドとデバイス名で販売されており、どこで製造されたのか明確に示されていません。

さらに、デバイスは一般的に多くの人の手を通過するため、ベンダーや再販業者はデバイスにカスタム ROM (悪意のある可能性がある) をロードする機会がいくつかあります。

ほとんどの電子商取引サイトが、マルウェアがプリロードされたデバイスの販売を防止するポリシーを持っているとしても、すべての電子機器を精査し、高度なマルウェアが含まれていないことを確認することによって、これらのルールを強制することは事実上不可能です.

このようなリスクを回避するために、Google Chromecast、Apple TV、NVIDIA Shield、Amazon Fire TV、Roku Stick などの評判の良いベンダーからストリーミング デバイスを選ぶことができます。

Amazon にリストされている販売者に連絡しようとしましたが、ブランドに関連付けられた Web サイトまたは電子メール アドレスが見つかりませんでした。