Quiconque pense pouvoir économiser lors de l’achat d’un boîtier Android TV peut introduire des logiciels malveillants dans sa maison. Personne ne sait d’où ça vient.

Un expert en sécurité a découvert une configuration de base bien visible sur sa box TV Android T95 achetée sur Amazon. En fait, des logiciels malveillants semblaient y avoir été préinstallés et souhaitaient récupérer des données supplémentaires sur les utilisateurs lors de leur démarrage. Mais le découvreur du malware y a mis fin avec un script spécialement écrit.

Le boîtier TV avec Android 10 est livré avec un logiciel malveillant de l’usine

De nombreux utilisateurs peuvent se sentir assez bien protégés contre les logiciels malveillants de toutes sortes s’ils installent toujours consciencieusement leurs mises à jour et restent à l’écart des sites Web douteux.

Cependant, un exemple récent montre que cela ne suffit pas toujours, dans lequel Amazon a livré une box Android TV avec un malware préinstallé, qui est également disponible sur AliExpress et d’autres grandes plateformes de commerce électronique.

Comme le rapporte BleepingComputer, Daniel Milisic, consultant en sécurité système, a découvert ledit malware dans une box TV Android T95 équipée de la version 10 du système d’exploitation de Google. Cependant, on ne sait toujours pas si l’incident ne concerne qu’un seul appareil ou une série de modèles entière.

Même la configuration de base du boîtier TV Android T95 était suspecte

Comme l’a noté Milisic, la boîte examinée avait son pont de débogage Android (ADB) ouvert sur Ethernet et WiFi prêt à l’emploi. Cela lui semblait assez inhabituel, car cela permettait d’établir une connexion externe avec un accès illimité au système.

L’analyse du trafic réseau a ensuite révélé que le boîtier Android TV semblait tenter de communiquer avec plusieurs adresses IP associées à des logiciels malveillants actifs. Elle appelait parfois une charge utile supplémentaire de «ycxrl.com« , « cbphe.com » et « cbpheback.com » un moyen.

Selon Milisic, le comportement du malware est similaire au malware Android découvert pour la première fois par Check Point en 2017.Imitateur“. À l’époque, cela rapportait plus de 1,5 million de dollars à ses créateurs grâce à des millions d’infections dans le cadre d’une campagne de logiciels publicitaires.

Un script doit rendre le logiciel malveillant inoffensif

Puisqu’il sera généralement difficile de trouver un système d’exploitation propre pour une telle box Android TV, l’expert en sécurité a décidé de fournir aux utilisateurs un script et des instructions pour nettoyer les appareils existants et empêcher les logiciels malveillants de tenter de communiquer.

Les utilisateurs doivent simplement démarrer leur box en mode recovery et là un «retour aux paramètres d’usine » exécuter. Après un redémarrage, l’utilisateur peut enfin se connecter à l’ADB et exécuter le script préparé. Si le nettoyage a réussi, la commande « logcat adb | grep Corejava” conduit à une erreur.

À quel stade de la chaîne d’approvisionnement le logiciel malveillant s’est-il introduit dans l’appareil reste-t-il pour le moment discutable. De nombreuses personnes entrent en contact avec elle, de la fabrication des boîtiers Android TV produits en Chine à leur utilisation par les consommateurs. Il en résulte plusieurs points d’attaque possibles, qui peuvent difficilement être contrôlés efficacement, notamment en ce qui concerne le prix des marchandises.