Un ricercatore di sicurezza ha scoperto un malware nascosto nel firmware di un Android TV box acquistato su Amazon. Si tratta del modello T95 Android TV box con processore AllWinner H616, tra i più popolari anche in Italia. Non è noto se questo è l’unico modello infetto. Per non correre rischi è meglio utilizzare prodotti di aziende più note, come i Fire TV Stick (attualmente in offerta).
Malware nel T95 Android TV box
Il T95 Android TV box è basato su Android 10 con ADB (Android Debug Bridge) accessibile tramite Ethernet e WiFi. Questa configurazione può essere sfruttata per accedere al file system, installare software, eseguire comandi, modificare i dati e controllare il dispositivo da remoto. Il ricercatore Daniel Milisic ha acquistato il box per installare il tool Pi-hole.
Analizzando le richieste DNS in Pi-hole ha scoperto che il dispositivo effettua collegamenti verso indirizzi IP associati al malware CopyCat, individuato nel 2017 da Check Point Software. Il codice è stato aggiunto al firmware da qualcuno. Il ricercatore ha pubblicato le istruzioni per “pulire” la ROM con uno script.
Purtroppo il T95 Android TV box è molto popolare, grazie al suo prezzo piuttosto basso. Come molti prodotti simili arriva dalla Cina e viene venduto con diversi brand e nomi. Anche se più costosi, gli utenti dovrebbero acquistare dispositivi di streaming da aziende più affidabili, come Amazon, Google, Apple e NVIDIA.