Un consulente canadese che si occupa di sicurezza ha scoperto che un box Android TV venduto anche su Amazon veniva spedito con un malware integrato nel suo firmware, mettendo così in pericolo gli ignari utenti.
Il malware in questione è stato scoperto da Daniel Milisic, che ha creato un apposito script (con le relative istruzioni) per aiutare gli utenti ad annullare il payload e interrompere la sua comunicazione con il server C2.
Un pericoloso box Android TV con malware su Amazon
Il dispositivo infetto è il box T95 Android TV con un processore AllWinner T616, ampiamente disponibile su Amazon, AliExpress e altre importanti piattaforme di e-commerce.
Al momento non è chiaro se sia stato interessato dal malware questo singolo dispositivo o se tutte le unità di tale modello includano il componente dannoso.
Il box T95 Android TV utilizza una ROM basata su Android 10 firmata con chiavi di test e l’ADB (Android Debug Bridge) aperto su Ethernet e WiFi, una configurazione che può essere sfruttata per connettersi ai dispositivi per l’accesso illimitato al file system, l’esecuzione di comandi, l’installazione del software, la modifica dei dati e il controllo remoto.
Milisic, che ha acquistato questo device per effettuare dei test, ha scoperto che stava tentando di connettersi a diversi indirizzi IP associati a malware attivo.
Pare che il malware individuato assomigli a CopyCat, un software dannoso scoperto diversi anni fa e che in passato è riuscito a infettare 14 milioni di device Android.
Per annullare il malware in questione, il ricercatore invita i possessori di box T95 Android TV a seguire tale procedura:
- riavviare il dispositivo in modalità recovery o eseguire un “Factory Reset” dal menu delle impostazioni
- al riavvio connettersi ad ADB via USB o WiFi-Ethernet ed eseguire lo script che si trova seguendo questo link
Per avere la conferma che il malware sia stato reso innocuo è sufficiente eseguire ” adb logcat | grep Corejava ” e verificare che il comando chmod non sia stato eseguito.