Pesquisador identifica malware pré-instalado em TV Box Android

O mercado de TV Box com Android contempla uma verdadeira imensidão de fabricantes e modelos envolvidos.

Temos desde opções de ponta como o NVIDIA Shield, aos tarimbados do grande público, Chromecast e Fire Stick TV. Nesse bolo há também uma variada lista de fabricantes chineses que oferecem alternativas com preços mais em conta. Além de uma performance que pode decepcionar, alguns desses aparelhos também podem facilitar a ação de cibercriminosos.

Recentemente, o especialista em segurança canadense Daniel Milisic encontrou por acaso um malware pré-instalado em uma TV Box da marca TUREWELL. O modelo TUREWELL T95, vendido na Amazon, AliExpress, e até mesmo em algumas lojas no Brasil.

No caso do modelo de Milisic, a versão da TV Box com o malware embutido no firmware roda com o processador AllWinner T616, mas também é possível encontrar o produto com outras opções de SoC, como o Amlogic S905W.

Após uma análise inicial, na tentativa de instalar o Pi-hole, que, via DNS, protege o dispositivo de conteúdo indesejado, anúncios e sites malicioso, o pesquisador analisou as solicitações de DNS no Pi-hole. Ele encontrou uma lista de vários domínios, associados a malware ativo, que a TV Box tentava se conectar.

Milisic acredita que o malware pré-instalado no dispositivo é uma cepa que se assemelha ao CopyCat, malware para Android descoberto pela empresa de segurança Check Point em 2017. Utilizado, entre outras coisas para a exibição de propagandas, este malware infectou mais de 14 milhões de dispositivos (mais de 395 mil somente no Brasil) e gerou mais de US$ 1.500.000 para os responsáveis.

Em post no GitHub, o analista explicou que usou ferramentas como “tcpflow” e “nethogs” para monitorar o tráfego. A ameaça que operava na TV Box também atuava para monitorar o tráfego online do dispositivo e para enviar informações a um servidor, além de manter tentativas recorrentes de download de mais ameaças, advindas de três domínios maliciosos (ycxrl.com; cbphe.com e cbpheback.com).

Como encontrar uma ROM limpa para substituir a infectada era difícil, Milisic decidiu alterar o DNS do servidor C2 (comando e controle) para rotear as solicitações por meio do Pi-hole, o que lhe permitiu bloquear as solicitações.

Milisic também comentou sobre como um usuário com esta TV box pode contornar o problema: a primeira coisa é redefinir o dispositivo para as definições de fábricas, recurso acessado nas configurações do aparelho. Feito isto, conecte o dispositivo ao PC via ADB (Android Debug Bridge), e execute este script.

Você também deve ler!

Anatel multará usuários de TV Box pirata

A Anatel (Agência Nacional de Telecomunicações) intensificou sua batalha contra a entrada de TV Box piratas ao Brasil, modelos que não passaram pelo processo de homologação.

Em um relatório, a agência constatou a existência de diversas vulnerabilidades nesses dispositivos. Dentre elas, é possível até mesmo espionar a tela do smartphone conectado na mesma rede, além do acesso irrestrito de terceiros as funções administrativas do dispositivo, e também a possibilidade desses gadgets serem utilizados para ataques de Negação de Serviço (DDoS).

“Falhas de segurança foram detectadas no processo de atualização dos aplicativos por meio de lojas virtuais próprias, permitindo que toda a informação trocada seja capturada e modificada por um atacante mal-intencionado, possibilitando a instalação de aplicativos maliciosos no dispositivo.

Essa vulnerabilidade, associada a outra em que o sistema operacional dos aparelhos admite que terceiros possam ter acesso irrestrito ao dispositivo com privilégios de administrador (conhecido como “root”), possibilita o controle total do dispositivo TV Box, incluindo o acesso a outros dispositivos que compartilham a mesma rede, tais como: computadores, televisores, roteadores, celulares, webcams, dentre outros, capturando dados e informações dos usuários, como registros financeiros, senhas, arquivos, fotos, etc”, conclui o relatório.