Laut einem kanadischen Infrastruktur- und Sicherheitsberater, der das Gerät gekauft hat, wurde festgestellt, dass eine bei Amazon verkaufte Android-TV-Box heimlich mit Malware geladen wurde.
In Beiträgen auf GitHub(Öffnet in einem neuen Fenster) und Reddit(Öffnet in einem neuen Fenster), warnt Daniel Milisic vor der T95 Android TV Box, die er vor einigen Monaten bei Amazon gekauft hat. Das Produkt, das auch den Allwinner h616-Chip verwendet, wird derzeit bei Amazon und AliExpress verkauft und beginnt bei etwa 40 US-Dollar.
Milisic bemerkte, dass etwas nicht stimmte, als das Android 10-Betriebssystem der Box mit Testschlüsseln signiert wurde und die Android Debug Bridge geöffnet war, sodass jeder über Ethernet und Wi-Fi darauf zugreifen konnte.
Die T95 Android TV Box hat Milisic gekauft. (Quelle: Milisic/Amazon)
Anschließend führte er die Werbeblocker-Software Pi-hole über das Gerät aus, die die verschiedenen Internetdomänen enthüllte, mit denen sich die TV-Box zu verbinden versuchte. „So habe ich entdeckt, wie fies diese Box mit Malware geschmückt ist“, schrieb Milisic und fügte später hinzu: „Die Box hat viele bekannte, aktive Malware-Adressen erreicht.“
Basierend auf seiner Analyse funktioniert die Malware ähnlich wie die CopyCat(Öffnet in einem neuen Fenster) Android-Malware, die ein Gerät kapern kann, um Apps zu installieren und Werbung anzuzeigen, um zu versuchen, Einnahmen für Cyberkriminelle zu generieren. Milisic teilte PCMag auch mit, dass er Beweise dafür gefunden habe, dass eine separate Malware namens Adups ebenfalls über das Gerät installiert wurde.
Es ist unklar, wie viele T95-Android-TV-Boxen mit der Malware geladen sind. Der Beitrag von Milisic enthält jedoch Tipps für Besitzer, wie sie herausfinden können, ob ihr Produkt betroffen ist. Enthält die TV-Box den Ordner „/data/system/Corejava“ und die Datei „/data/system/sharedEinstellungen/offenpräferenz.xml“, dann wurde das Gerät kompromittiert.
Von unseren Redakteuren empfohlen
Sein GitHub-Beitrag bietet weiterhin eine Möglichkeit, die Malware teilweise zu deaktivieren, indem der Kommunikationsweg zu den von Hackern kontrollierten Servern unterbrochen wird. Aber für technisch nicht versierte Benutzer besteht der einfachste Weg, der Bedrohung zu begegnen, darin, den Stecker des Produkts zu ziehen. In einem Reddit Post(Öffnet in einem neuen Fenster)sagte Milisic, dass beim Zurücksetzen auf die Werkseinstellungen die Malware einfach auf der TV-Box neu installiert wird.
Der Vorfall erinnert daran, beim Kauf von Produkten unbekannter Technologiemarken vorsichtig zu sein. Amazon reagierte nicht sofort auf eine Bitte um Stellungnahme.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.