Op een Android-TV Box is voorgeïnstalleerde malware gevonden, diep verborgen in de firmware van het apparaat. Een Canadese security consultant heeft het apparaatje gekocht op Amazon en ontdekte de malware.
De consultant heeft een script gecreeërd en instructies om gebruikers te helpen de malware uit te schakelen en de communicatie met de command and control-server te stoppen. Het apparaatje in kwestie is de T95 Android TV-box met een AllWinner H616-processor, verkrijgbaar bij onder meer Amazon, Aliexpress en andere grote e-commerceplatforms. Het is niet duidelijk of alle apparaten van dit model of merk zijn getroffen met de malware.
Het T95-streamingapparaat gebruikt een op Android 10-gebaseerde rom, ondertekend met testsleutels en de ADB (Android Debug Bridge) open via ethernet en wifi. ADB kan worden gebruikt om verbinding te maken met apparaten voor onbeperkte toegang tot het bestandssysteem, het uitvoeren van opdrachten, software-installatie, gegevensmodificatie en de afstandsbediening. Voor consumenten zitten de meeste mediastreamers achter een firewall, waardoor het niet waarschijnlijk is dat kwaadwillenden op afstand verbinding kunnen maken met ADB.
De Canadese consultant kocht het apparaat in eerste instantie om Pi-Hole-software te testen, die kan worden gebruikt om verbindingen op dns-niveau te controleren. Bij het onderzoeken van de dns-query's probeerde het apparaat verbinding te maken met een reeks ip-adressen die geassocieerd worden met malware. Het lijkt erop dat de Android TV-box geïnfecteerd is met de CopyCat-malware, die voor het eerst werd ontdekt in 2017. Deze malware werd aangetroffen in een adware-campagne en heeft toentertijd ongeveer 14 miljoen Android-apparaten geïnfecteerd, met als resultaat 1,5 miljoen euro aan winst voor zijn exploitanten.
Bron: Bleeping Computer
