AllWinner и RockChip, возможно, и не являются известными брендами, но эти две китайские компании выпускают несколько популярных ТВ-приставок на базе Android, которые продаются на Amazon.
Эти телевизионные приставки на базе Android, как правило, недорогие и хорошо настраиваются, позволяя объединить несколько потоковых сервисов в одном устройстве, а не покупать отдельное оборудование для каждого. Их витрины на Amazon могут похвастаться хорошими рейтингами и в совокупности они набрали тысячи похвальных отзывов.
Но исследователи безопасности утверждают, что эти модели продаются с предустановленным вредоносным ПО, способным запускать скоординированные кибератаки.
В прошлом году Даниэль Милисич купил приставку AllWinner T95 и обнаружил, что прошивка чипа заражена вредоносным ПО. Милисич обнаружил, что приставка на базе Android обменивалась данными с контрольными серверами и ожидала инструкций о том, что делать дальше. В ходе расследования, результаты которого он опубликовал на GitHub, выяснилось, что его модель T95 прямо “из коробки” подключалась к крупному ботнету, состоящему из тысяч других зараженных вредоносным ПО Android TV-приставок в домах и офисах по всему миру.
По словам Милисича, полезная нагрузка вредоносной программы по умолчанию — это кликбот, то есть код, который генерирует рекламные деньги, скрытно нажимая на рекламу в фоновом режиме. Но уже после включения пораженных Android TV-боксов предварительно загруженная вредоносная программа немедленно связывается с командно-контрольным сервером, получает от него инструкции о том, где найти нужные новые программы и перебрасывает их на устройство.
«Авторы могут передавать любую полезную нагрузку, которая им нравится», — сказал Милисич в интервью TechCrunch.
Исследователь безопасности EFF Билл Бадингтон независимо подтвердил выводы Милисича, также купив вредоносное устройство на Amazon. Несколько других моделей AllWinner и RockChip на Android TV также оказались заражены вредоносным ПО.
Ботнеты обычно состоят из сотен, если не тысяч или миллионов, взломанных устройств по всему миру. Операторы ботнета могут использовать эту обширную вредоносную сеть для добычи криптовалюты на пораженном устройстве, кражи данных (если таковые имеются) с устройства или сети, к которой оно подключено, или для использования коллективной пропускной способности Интернета этих устройств, чтобы завалить другие веб-сайты и интернет-серверы нежелательным трафиком.
Милишич попросил интернет-компанию, на мощностях которой находились контрольные серверы, передававшие инструкции ботнету, отключить их от сети, и через некоторое время серверы, на которых размещалось вредоносное ПО для рекламы, исчезли. Однако он предупредил, что ботнет может вернуться в любой момент с новой инфраструктурой.
Пока неясно, насколько велика бот-сеть. «Трудно оценить масштаб этой сети», — сказал Бадингтон. — «Мы знаем только то, что везде, куда бы мы ни посмотрели, есть различные варианты троянских вредоносных программ для Android, загружающих следующие вредоносные программы с одного и того же набора IP-адресов, которые в прошлом участвовали в атаках. Это впечатляющая и тревожная операция».
Милишич и Бадингтон отмечают, что для обычного пользователя не существует простого способа удалить вредоносное ПО. Лучшим вариантом для пострадавших пользователей может стать только выбрасывание ТВ-приставки.
«Я думаю, что единственный способ решить эту проблему — это повысить требования к продавцам», — сказал Милисич. Онлайн-продавцам, таким как Amazon, «не разрешается продавать детские игрушки, сделанные из крутящихся бритвенных лезвий, почему же можно позволить мелким, неизвестным продавцам продавать компьютеры, действующие злонамеренно без ведома и разрешения владельцев?».
Но сейчас пострадавшие модели AllWinner и RockChip все еще доступны для продажи на Amazon.