Badacze cyberbezpieczeństwa odkryli, że niektóre przystawki telewizyjne, dostępne w serwisie Amazon, są zainfekowane złośliwym oprogramowaniem. Co było przedmiotem oszustw i czy sprawa została na zawsze rozwiązana?
Każdy telewizor to Smart TV – z dodatkową przystawką
Przystawki telewizyjne to zewnętrzne urządzenia, dzięki którym telewizor, pozbawiony dostępu do systemu Smart TV, staje się inteligentny. Użytkownik może zatem uruchamiać platformy streamingowe i w sposób płynny zarządzać swoim telewizorem. W taki właśnie sposób działa na przykład urządzenie Google Chromecast 4.0 czy przystawka Xiaomi.
Choć sprzęt ten ma sporo zalet, okazuje się, że niektórzy producenci są wyjątkowo sprytni i zainstalowali na części urządzeń złośliwe oprogramowanie. Pewne przystawki, znane jako „Android TV Box”, dostępne w serwisie Amazon, są wyjątkowo tanie i „w gratisie” wyposażone w złośliwe oprogramowanie.
W jaki sposób to odkryto? Badacz cyberbezpieczeństwa, niejaki Daniel Milisic, postanowił zaopatrzyć się w tanią, znaną, lubianą i wysoko ocenianą przystawkę AllWinner T95. Jego celem było zbadanie skąd tak niska cena.
Przystawki z malware
Gdy badacz zaczął przyglądać się sprawie, okazało się, że sprzęt ma wbudowane narzędzie, które pozwala na komunikowanie się z Command & Control (C2). Serwer ten wykorzystywany jest do łączenia się i sterowania zainfekowanymi przez malware urządzeniami. Dzięki temu przystawki mogły odnaleźć połączenie z botnetem, uruchamiającym pobranie złośliwego oprogramowania.
To, z pewnością, niechciane przez użytkowników oprogramowanie, było podstawą do uruchomienia zestawu oszustw, opierających się o kliknięcia w reklamy. Badacz Milisic rozpowszechnił swoje odkrycie, a w ślad za nim pojawili się następni specjaliści.
Jednym z potwierdzających ten fakt okazał się być Bill Budington, który dodatkowo dotarł do trzech innych sprzętów zaopatrzonych w złośliwe narzędzie. Okazało się, że przystawki, takie jak AllWinner T95Max, RockChip X12 Plus, a także RockChip X88 Pro 10 również otrzymały ten rodzaj oprogramowania.
Choć po skontaktowaniu się naukowców z operatorami serwery zostały zdezaktywowane, nie oznacza to, że problem został zażegnany. Jak twierdzi Milisic możliwe jest stworzenie kolejnego C2 i kontynuowanie oszustw związanych z reklamami.