I ricercatori di cybersecurity hanno fatto una scoperta preoccupante riguardante due popolari prodotti Android TV box, che vengono venduti online con malware preinstallati. Questi malware generano ricavi per gli aggressori cliccando sugli annunci in background, senza che i proprietari ne siano a conoscenza o diano il loro consenso.
La minaccia silente: 89 milioni di dispositivi Android pre-infettati dal malware Guerrilla
Scoperto Malware Preinstallato nei Firmware Android: Ecco cosa Devi Sapere!
Come Funzionano i Malware sui TV Box
Daniel Milisic, un ricercatore in sicurezza informatica, ha scoperto che l’AllWinner T95, un popolare set-top box acquistato su Amazon, era pre-caricato con un malware. L’apparecchio, con un rating di quattro stelle su cinque e numerose recensioni, offre diversi servizi di streaming, può essere personalizzato ed è generalmente considerato un buon affare per il suo prezzo relativamente basso (circa 40 dollari senza spedizione).
Tuttavia, poco dopo aver ricevuto l’articolo, Milisic ha scoperto che il dispositivo era in comunicazione con un server C2 e aspettava determinate istruzioni. Un’indagine più approfondita ha rivelato che il dispositivo si collegava a una vasta botnet composta da innumerevoli dispositivi in tutto il mondo. Le istruzioni erano di scaricare un malware di seconda fase che esegue frodi di clic sugli annunci.
La Scoperta di Altri Dispositivi Infetti
Dopo aver pubblicato le sue scoperte su GitHub, altri ricercatori hanno offerto il loro supporto, tra cui Bill Budington, ricercatore di sicurezza della EFF, che non solo ha confermato le scoperte di Milisic, ma ha anche affermato che c’erano altri dispositivi che facevano la stessa cosa. Alcuni dei dispositivi infetti includono l’AllWinner T95Max, il RockChip X12 Plus, e il RockChip X88 Pro 10.
Milisic ha contattato la compagnia internet che ospitava i server C2 e ha chiesto che fossero spenti, e la compagnia ha rapidamente acconsentito. Tuttavia, egli afferma che niente impedisce agli attori della minaccia di erigere un server C2 altrove e continuare la loro operazione.
La Soluzione per gli Utenti e i Rivenditori
Parlando a TechCrunch, Budington ha espresso la sua sorpresa: “È un’operazione impressionante e inquietante,” ha detto. Ha anche evidenziato la difficoltà di quantificare l’ampiezza di questa rete di malware e ha sottolineato che l’utente medio non sa come installare o rimuovere tale software dai TV box. Per gli utenti, il miglior corso d’azione sarebbe semplicemente sostituire i dispositivi con qualcosa di più affidabile. Budington crede inoltre che i rivenditori dovrebbero essere tenuti a standard più elevati e scrutinare maggiormente l’hardware.