Beeldcredits: TechCrunch
AllWinner en RockChip zijn misschien geen bekende namen, maar de twee in China gevestigde bedrijven leveren verschillende zeer populaire Android TV-boxen die op Amazon worden verkocht.
Deze settopboxen voor Android TV zijn meestal goedkoop en zeer aanpasbaar, inclusief meerdere streamingdiensten op één apparaat, in plaats van afzonderlijke hardware te kopen. Hun vermeldingen op Amazon hebben vier van de vijf sterren en samen hebben ze duizenden prijzenswaardige recensies verzameld.
Maar beveiligingsonderzoekers zeggen dat de modellen worden verkocht met vooraf geïnstalleerde malware die in staat is om gecoördineerde cyberaanvallen uit te voeren.
Vorig jaar kocht Daniel Milisic een AllWinner T95-decoder en ontdekte dat de firmware van de chip geïnfecteerd was met malware. Milisic ontdekte dat de Android-settopbox in gesprek was met de commando- en controleservers en wachtte op instructies over wat nu te doen. Uit zijn lopende onderzoek, dat hij op GitHub plaatste, bleek dat zijn T95-model klaar was om verbinding te maken met een groter botnet van duizenden andere met malware geïnfecteerde Android TV-boxen in huizen en kantoren over de hele wereld.
Milisic zei dat de standaardlading van de malware een clickbot is, in wezen code die advertentiegeld genereert door heimelijk op advertenties op de achtergrond te tikken. Zodra de getroffen Android TV-boxen zijn ingeschakeld, maakt de vooraf geladen malware onmiddellijk contact met een command-and-control-server, krijgt instructies over waar de malware kan worden gevonden en extraheert extra payloads naar het apparaat dat de klikfraude uitvoert. advertenties.
“Maar vanwege de manier waarop de malware is ontworpen, kunnen de auteurs elke payload lanceren die ze willen”, vertelde Milisic aan TechCrunch.
EFF-beveiligingsonderzoeker Bill Budington bevestigde onafhankelijk de bevindingen van Milisic nadat hij ook een getroffen apparaat van Amazon had gekocht. Verschillende andere AllWinner- en RockChip Android TV-modellen zijn ook voorgeladen met de malware, waaronder de AllWinner T95Max, RockChip X12 Plus en RockChip X88 Pro 10.
“/>
Een screenshot van de AllWinner T95 vermeld op Amazon. Beeldcredits: TechCrunch (schermafbeelding)
Botnets bestaan doorgaans uit honderden, zo niet duizenden of miljoenen gecompromitteerde apparaten over de hele wereld. De operators achter het botnet kunnen dit enorme kwaadaardige netwerk gebruiken om cryptocurrency te minen op een getroffen apparaat, gegevens (indien aanwezig) te stelen van het apparaat of het netwerk waarmee het is verbonden, of profiteren van de collectieve internetbandbreedte van deze apparaten. andere websites en internetservers. met junkverkeer, ook wel een gedistribueerde denial-of-service-aanval genoemd, waardoor ze offline zijn.
Milisic vroeg het internetbedrijf dat de command-and-control-servers hostte om het bredere botnet te instrueren om die servers offline te halen, en de servers die de ad-click-malware hosten, verdwenen kort daarna. Hij waarschuwde echter dat het botnet op elk moment kan terugkeren met een nieuwe infrastructuur.
Het is niet duidelijk hoe groot het botnet is. “Het is moeilijk om de omvang van dit netwerk te kwantificeren”, vertelde Budington aan TechCrunch. “Wat we wel weten, is dat er overal waar we kijken verschillende varianten van Android Trojan-malware zijn die next-stage malware downloaden van dezelfde set IP’s, die in het verleden betrokken waren bij supply chain-aanvallen. Het is een indrukwekkende en verontrustende operatie.”
Milisic en Budington wijzen erop dat er voor de gemiddelde gebruiker geen gemakkelijke manier is om de malware te verwijderen. Het volledig weggooien van de doos is misschien wel de beste optie voor getroffen gebruikers.
“Ik denk dat de enige manier om dit probleem te verminderen, is door retailers aan een hogere standaard te houden”, vertelde Milisic aan TechCrunch. Verwijzend naar online verkopers zoals Amazon: “ze mogen geen kinderspeelgoed verkopen dat is gemaakt met roterende scheermesjes. Waarom is het oké om kleine onbekende verkopers toe te staan computers te verkopen die kwaadwillig handelen zonder medeweten en toestemming van de eigenaars?”
Toen TechCrunch contact opnam, weigerde Amazon-woordvoerder Adam Montgomery te zeggen of Amazon de beveiliging van de apparaten die het verkoopt beoordeelt of van plan is apparaten terug te roepen die de malware in kwestie bevatten.
AllWinner en RockChip hebben geen verzoeken om commentaar geretourneerd.
Er is de afgelopen jaren een druk geweest om de hardwarebeveiligingsnormen te verbeteren. De regering-Biden zei dat het van plan is om dit jaar een tagging-systeem voor apparaten met internetverbinding te implementeren als onderdeel van de inspanningen om apparaatfabrikanten aan te moedigen de beveiliging van hun apparaten te verbeteren, zoals het toevoegen van updatemechanismen om beveiligingsfouten te verhelpen. In 2018 heeft Californië een wet aangenomen die verbiedt dat met internet verbonden apparaten gemakkelijk te raden, standaardwachtwoorden gebruiken, die criminelen vaak gebruiken om apparaten te hacken en ze in een botnet te vangen.
Op het moment van schrijven zijn de getroffen AllWinner- en RockChip-modellen nog steeds te koop op Amazon.