Los investigadores de seguridad cibernética han descubierto que dos productos populares de Android TV Box se venden en línea precargados con malware.
El malware genera ingresos para los atacantes al hacer clic en los anuncios en segundo plano, sin el conocimiento o consentimiento de los propietarios, según los hallazgos del investigador de seguridad cibernética Daniel Milisic.
Milisic acudió a Amazon para comprar un AllWinner T95, un decodificador popular con una calificación de cuatro de cinco estrellas e innumerables reseñas. La caja de TV viene con múltiples servicios de transmisión, se puede personalizar y generalmente se considera un buen valor por su precio relativamente bajo (alrededor de $ 40 sin envío).
Impresionante e inquietante
Sin embargo, poco después de recibir el artículo, Milisic descubrió que la herramienta se comunicaba con un servidor C2 y esperaba ciertas instrucciones. Una investigación más profunda mostró que el dispositivo se conectaba a una botnet más amplia que incluía innumerables dispositivos en todo el mundo. Las instrucciones eran descargar malware de etapa dos que realiza fraude de clics en anuncios.
Después de publicar sus hallazgos en GitHub, otros investigadores colaboraron con su apoyo, incluido el investigador de seguridad de EFF, Bill Budington, quien no solo confirmó los hallazgos de MIlisic, sino que también dijo que había otros dispositivos que hacían lo mismo. Estos son algunos de los dispositivos infectados: AllWinner T95Max, RockChip X12 Plus y RockChip X88 Pro 10.
Milisic se acercó a la empresa de Internet que alojaba los servidores C2 y pidió que los apagaran, y la empresa accedió rápidamente. Sin embargo, dice que nada detiene a los actores de amenazas para erigir un servidor C2 en otro lugar y simplemente continuar con su operación.
Hablando a TechCrunchBudington no ocultó su asombro: “Es una operación impresionante e inquietante”, dijo.
“Es difícil cuantificar la escala de esta red. Lo que sí sabemos es que dondequiera que miremos hay diferentes variantes de malware troyano de Android que descargan malware de próxima etapa desde el mismo conjunto de IP, que han estado involucrados en ataques a la cadena de suministro en el pasado”.
Lo peor es que el usuario promedio realmente no sabe cómo instalar o eliminar dicho software de las cajas de TV, afirman los investigadores. Para ellos, el mejor curso de acción sería simplemente reemplazar los dispositivos con algo más confiable. Para los investigadores, él cree que deberían exigir a los revendedores un estándar más alto y examinar más el hardware.
“No se les permite vender juguetes para niños hechos con cuchillas de afeitar giratorias, ¿por qué está bien permitir que pequeños vendedores desconocidos vendan computadoras actuando maliciosamente sin el conocimiento y permiso de los dueños?”, concluyó.
Vía: TechCrunch