安全研究员 Daniel Milisic 发现他在亚马逊上购买的 T95 Android 电视盒感染了复杂的预装恶意软件。
这款 Android 电视盒型号可在亚马逊和全球速卖通上以低至 40 美元的价格购买。
该设备配备了 Android 10(带有可用的 Play 商店)和 Allwinner H616 处理器。Milisic 在其固件中发现了预加载的恶意软件。
Milisic 购买了 T95 Android 电视盒来运行 Pi-hole,这是一个 Linux 网络级广告和互联网跟踪器拦截应用程序。
运行 Pi-hole 后,他注意到该盒子正在到达与恶意软件活动相关的地址。
“在搜索完成后,专家试图删除该恶意软件。在使用 tcpflow 和 nethogs 监控流量的恶意软件层之上发现了有问题的进程/APK,然后将其从 ROM 中删除。但有些无法追踪的恶意软件已经深深地嵌入到 ROM 中。它是非常复杂的恶意软件,其运行方式类似于 CopyCatin。
该设备使用使用测试密钥签名的 Android 10 操作系统。专家还发现它具有可通过以太网端口访问的 Android 调试桥 (ADB)。
设备固件中嵌入的恶意代码类似于 Android CopyCat恶意软件。专家指出,他测试的所有 AV 产品都无法检测到威胁。
Milisic 还设计了一个技巧来阻止恶意软件使用 Pi-hole 将命令和控制服务器 YCXRL.COM 的 DNS 更改为 127.0.0.2。
他还创建了一个 iptables 规则,将所有 DNS 重定向到 Pi-hole,因为恶意软件/病毒/任何无法解析的东西都会使用外部 DNS。
通过这样做,C&C 服务器最终会攻击 Pi-hole 网络服务器,而不是将我的登录名、密码和其他 PII 发送到 Linode(在撰写本文时目前为 139.162.57.135)
请注意,Milisic 提出的解决方案并没有删除恶意代码或禁用它,它只是消除了它对其操作的干扰。
为了确定 s T95 Android 电视盒是否已被感染,研究人员建议检查是否存在名为:
/data/system/Corejava
和一个名为
/data/system/shared_prefs/open_preference.xml
?
Milisic 无法测试来自同一供应商或型号的其他设备以确定它们的固件是否也被感染。
最后,米利西奇总结道:“不要相信 AliExpress 或亚马逊上的廉价 Android 盒子,它们的固件带有测试密钥签名。他们正在窃取您的数据(除非您可以查看 DNS 日志)并且不留痕迹!”
参考链接:
https://securityaffairs.com/140866/security/t95-android-tv-box-malware.html?