Cybersicherheitsforscher haben herausgefunden, dass zwei beliebte Android-TV-Box-Produkte online mit vorinstallierter Malware verkauft werden.
Nach Erkenntnissen des Cybersicherheitsforschers Daniel Milisic generiert die Malware Einnahmen für die Angreifer, indem sie im Hintergrund auf Anzeigen klickt, ohne das Wissen oder die Zustimmung der Eigentümer.
Milisic ging zu Amazon, um einen AllWinner T95 zu kaufen, eine beliebte Set-Top-Box mit einer Bewertung von vier von fünf Sternen und unzähligen Rezensionen. Die TV-Box verfügt über mehrere Streaming-Dienste, kann individuell angepasst werden und gilt aufgrund ihres relativ niedrigen Preises (ca. 40 US-Dollar ohne Versand) allgemein als preiswert.
Beeindruckend und beunruhigend
Kurz nach Erhalt des Artikels stellte Milisic jedoch fest, dass das Tool mit einem C2-Server kommunizierte und auf bestimmte Anweisungen wartete. Eine eingehendere Untersuchung ergab, dass das Gerät eine Verbindung zu einem größeren Botnetz herstellte, das unzählige Geräte auf der ganzen Welt umfasste. Die Anweisung bestand darin, Malware der zweiten Stufe herunterzuladen, die Ad-Click-Betrug durchführt.
Nachdem er seine Ergebnisse auf GitHub veröffentlicht hatte, meldeten sich andere Forscher zu Wort, darunter der EFF-Sicherheitsforscher Bill Budington, der nicht nur die Ergebnisse von MIlisic bestätigte, sondern auch sagte, dass es andere Geräte gäbe, die das Gleiche tun. Hier sind einige der infizierten Geräte: AllWinner T95Max, RockChip X12 Plus und RockChip X88 Pro 10.
Milisic wandte sich an das Internetunternehmen, das die C2-Server gehostet hatte, und bat darum, diese abzuschalten, und das Unternehmen kam der Aufforderung schnell nach. Er sagt jedoch, dass nichts die Bedrohungsakteure davon abhält, an anderer Stelle einen C2-Server zu errichten und ihren Betrieb einfach fortzusetzen.
Sprechen mit TechCrunchBudington verbarg sein Erstaunen nicht: „Es ist eine beeindruckende und beunruhigende Operation“, sagte er.
„Es ist schwierig, die Größe dieses Netzwerks zu quantifizieren. Was wir wissen ist, dass es überall, wo wir hinschauen, verschiedene Varianten von Android-Trojaner-Malware gibt, die Malware der nächsten Stufe von denselben IP-Adressen herunterlädt, die in der Vergangenheit an Angriffen auf die Lieferkette beteiligt waren.“
Das Schlimmste ist, dass der durchschnittliche Benutzer nicht wirklich weiß, wie man solche Software auf TV-Boxen installiert oder entfernt, behaupten die Forscher. Für sie wäre es die beste Vorgehensweise, die Geräte einfach durch vertrauenswürdigere Geräte zu ersetzen. Er ist der Meinung, dass die Forscher höhere Standards an Wiederverkäufer stellen und die Hardware genauer unter die Lupe nehmen sollten.
„Es ist ihnen nicht gestattet, Kinderspielzeug zu verkaufen, das aus sich drehenden Rasierklingen besteht. Warum ist es in Ordnung, dass kleine, unbekannte Verkäufer Computer verkaufen, die böswillig handeln, ohne das Wissen und die Erlaubnis der Besitzer?“, schlussfolgerte er.
Über: TechCrunch