Popularne chińskie przystawki z Android TV mogły zostać zainfekowane szkodliwym oprogramowaniem Pandora – wynika z raportu Dr.Web. To samo tyczy się telewizorów z tym systemem.
Szkodliwe oprogramowanie na Androida mimowolnie kojarzy się ze smartfonami, ale fakt jest taki, że wariant tego systemu napędza m.in. także przystawki do telewizora. Trochę nieoczekiwanie, tym razem to właśnie one znalazły się na celowniku.
Konkretniej rzecz biorąc, chodzi o urządzenia takie jak Tanix TX6 TV Box, MX10 Pro 6K i H96 MAX X3, bądź ich ekwiwalent, które to wyposażone są w 4-rdzeniowe procesory. Zresztą, te cecha ma tutaj kluczowe znaczenie. Dodajmy, podobna zasada tyczy się całych smart TV.
Jak raportują badacze z Dr.Web, rzeczone przystawki z racji swojej wydajności, po zainfekowaniu, wykorzystywane są jako botnet. Czyli grupa urządzeń, nad którą przestępcy zyskują zdalną kontrolę, by np. przeprowadzać ataki DDoS, albo rozsyłać SPAM.
Sam schemat ataku okazuje się zaskakująco dopracowany. Szkodliwy ładunek znajduje się bowiem w pliku boot.img, a więc mówiąc prościej, bezpośrednio w systemie urządzenia. Dzięki temu omija ewentualne rozwiązania antywirusowe, włącza się od razu po starcie i może dyskretnie działać w tle.
I choć trojan nie jest instalowany domyślnie przez producentów, często ponoć pojawia się w fabrycznie nowych jednostkach, gdy oprogramowanie z jakiegoś powodu zechce modyfikować sprzedawca. A przyczyn, jak zauważono, może być całkiem sporo. Wystarczy chęć przetłumaczenia interfejsu albo co gorsza, oferowanie dostępu do pirackich serwisów streamingowych.
Swoje mają dokładać też sami piraci, którzy według Dr.Web pod rozmaitymi pretekstami zachęcają do przeprowadzenia szkodliwej aktualizacji. Obiecują chociażby łatwiejszy dostęp do multimediów. Rzecz jasna, czasem może być to prawda, tylko użytkownik otrzymuje do tego niechciany bonus.
Z technicznego punktu widzenia, szkodnik tworzy usługę GoMediaService, która od razu trafia do autostartu. Następnie odpala szereg programów, w tym interpreter wiersza poleceń o podwyższonym poziomie uprawnień. Instaluje też wspomniany już backdoor Pandora. Ten łączy się z serwerem kontroli zdalnej i aktualizuje, po czym zaczyna wyczekiwać poleceń. Wśród nich jest możliwość realizowania ataków DDoS za pośrednictwem protokołów TCP i UDP.
Ostatecznie Dr.Web zaleca, aby kupować jedynie przystawki pochodzące od sprawdzonych producentów i ze znanych sklepów. Wśród rekomendowanych modeli znajdziemy: Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV i Roku Stick. Inne opcje zdaniem badaczy to zawsze igranie z losem.
Źródło zdjęć: Dmytro Pies / Shutterstock
Źródło tekstu: Dr.Web, oprac. własne
