Televizní boxy s operačním systémem Android jsou již dlouho oblíbeným místem, kam útočníci ukrývají malware a kompromitují sítě uživatelů. Nová zpráva kyberbezpečnostní společnosti Human Security však naznačuje, že tento problém může být rozšířenější, než se dosud myslelo, informuje web Android Headlines.
V lednu tohoto roku bezpečnostní expert Daniel Milisic zjistil, že levná neznačková streamovací krabička, označená pouze jako T95, byla zřejmě přímo z výroby infikována neodstranitelným malwarem. Několik dalších odborníků potvrdilo, že bezpečnost systému založeného na Androidu byla narušena zadními vrátky nainstalovanými někdy předtím, než se dostal k prodejcům.
Malware Triada
Experti na bezpečnost nakonec objevili neuvěřitelné desítky tisíc mobilních telefonů, tabletů a televizních boxů se systémem Android infikovaných malwarem, který ohrožuje data a soukromí uživatelů. „Je to něco jako švýcarský armádní nůž na provádění špatných věcí na internetu,“ řekl manažer informační bezpečnosti z firmy Human Security Gavin Reid.
Dle publikované zprávy je na většině infikovaných TV boxů předinstalován upravený malware Triada, který je schopen provádět celou řadu funkcí, včetně zobrazování podvodných reklam, vytváření falešných účtů na platformách, jako jsou Gmail či WhatsApp, a přístupu do domácích sítí.
Skutečnost, že se malware vyskytuje na více než 200 zařízeních s Androidem, navíc naznačuje, že jde o velmi rozsáhlou operaci. Ze všech modelů zpráva konkrétně vyzdvihuje osm zařízení, včetně sedmi TV boxů - T95, T95Z, T95MAX, X88, Q9, X12PLUS a MXQ Pro 5G - a tabletu J5-W.
Přestože není možné přesně určit způsob, který útočníci používají k instalaci malwaru, je zřejmé, že infikovaná zařízení jsou vyráběna v Číně a někde v dodavatelském řetězci, pravděpodobně předtím, než se dostanou k prodejcům, instalují útočníci nechvalně známý malware.
Zadní vrátka pro hackery
Zadní vrátka fungují prostřednictvím globální sítě, a jakmile uživatel připojí zařízení k televizoru, navážou spojení s řídicím serverem v Číně, stáhnou sadu instrukcí a zahájí různé škodlivé aktivity. Dle Reida tyto krabičky se systémem Android TV fungují jako spící buňky, které jsou nečinné, dokud nejsou aktivovány vnějšími příkazy.
Dle expertů hackeři prodávali přístup k uzlům na temném webu a tvrdili, že mají přístup k více než 10 milionům domácích IP adres a sedmi milionům mobilních IP adres. Milisic naštěstí uvádí, že řídící uzly, ke kterým se malware připojoval, byly odstraněny, takže backdoor je prozatím účinně zneškodněn. Stále je však v postižených zařízeních a je možné, že by mohl být znovu aktivován pomocí nových serverů.
Kromě toho existuje několik milionů podobných případů, které s nesouvisejí s malwarem Triada. Antivirová společnost Trend Micro zkoumala podobnou malwarovou kampaň s až dvaceti miliony postižených zařízení, což ukazuje, jak rozšířený může tento problém být.
Zákazníci by si měli při nákupech dávat velký pozor. Levné streamovací zařízení totiž může jejich domácí síť proměnit v hackerské centrum, aniž by o tom věděli. Dobrým pravidlem je v tomto případě nekupovat přístroje od neznámých značek a výrobců.