Des chercheurs en cybersécurité ont découvert que deux produits Android TV box populaires sont vendus en ligne préchargés avec des logiciels malveillants.
Le malware génère des revenus pour les attaquants en cliquant sur des publicités en arrière-plan, à l’insu des propriétaires ou sans leur consentement, selon les conclusions du chercheur en cybersécurité Daniel Milisic.
Milisic s’est rendu sur Amazon pour acheter un AllWinner T95, un décodeur populaire avec une note de quatre étoiles sur cinq et d’innombrables critiques. Le boîtier TV est livré avec plusieurs services de streaming, peut être personnalisé et est généralement considéré comme un bon rapport qualité-prix pour son prix relativement bas (environ 40 $ sans frais de port).
Impressionnant et dérangeant
Cependant, peu après avoir reçu l’objet, Milisic a découvert que l’outil communiquait avec un serveur C2 et attendait certaines instructions. Une enquête plus approfondie a montré que l’appareil se connectait à un botnet plus large comprenant d’innombrables appareils dans le monde entier. Les instructions consistaient à télécharger un logiciel malveillant de deuxième étape qui effectue une fraude au clic publicitaire.
Après avoir publié ses découvertes sur GitHub, d’autres chercheurs ont apporté leur soutien, y compris le chercheur en sécurité de l’EFF Bill Budington, qui a non seulement confirmé les découvertes de MIlisic, mais a également déclaré que d’autres appareils faisaient la même chose. Voici quelques-uns des appareils infectés : AllWinner T95Max, RockChip X12 Plus et RockChip X88 Pro 10.
Milisic a contacté la société Internet qui hébergeait les serveurs C2 et a demandé qu’ils soient désactivés, et la société s’est conformée rapidement. Cependant, il dit que rien n’empêche les acteurs de la menace d’ériger un serveur C2 ailleurs et de simplement poursuivre leurs opérations.
Parler à Tech CrunchBudington ne cache pas son étonnement : « C’est une opération impressionnante et troublante », dit-il.
« Il est difficile de quantifier l’ampleur de ce réseau. Ce que nous savons, c’est que partout où nous regardons, il existe différentes variantes de logiciels malveillants de type cheval de Troie Android téléchargeant des logiciels malveillants de niveau supérieur à partir du même ensemble d’adresses IP, ceux qui ont été impliqués dans des attaques de la chaîne d’approvisionnement dans le passé.
Le pire, c’est que l’utilisateur moyen ne sait pas vraiment comment installer ou supprimer de tels logiciels des téléviseurs, affirment les chercheurs. Pour eux, la meilleure solution serait de simplement remplacer les appareils par quelque chose de plus fiable. Pour les chercheurs, il pense qu’ils devraient imposer aux revendeurs une norme plus élevée et examiner davantage le matériel.
« Ils ne sont pas autorisés à vendre des jouets pour enfants fabriqués à partir de lames de rasoir en rotation, pourquoi est-il acceptable de laisser de petits vendeurs inconnus vendre des ordinateurs agissant de manière malveillante à l’insu et sans la permission des propriétaires ? », a-t-il conclu.
Via : TechCrunch