I ricercatori di Sophos hanno scoperto malware nascosti in ROM modificate di alcuni smartphone. Altri esperti di sicurezza hanno trovato malware anche in popolari box Android TV venduti su Amazon. I dispositivi hanno ricevuto molte recensioni positive, forse fasulle o scritte da utenti che non hanno notato nulla di strano.
Attenzione ai box Android TV cinesi
Questi set-top box sono molto economici e piuttosto configurabili, essendo basati su Android. Il ricercatore Daniel Milisic aveva scoperto un malware nel firmware del modello AllWinner T95 (venduto anche con altri nomi) che comunica con un server C&C (command and control) per ricevere comandi.
Dall’analisi dettagliata del firmware e del traffico in uscita, il ricercatore ha scoperto che il box era connesso ad una grande botnet composta da migliaia di dispositivi Android TV. Il payload del malware è un clickbot, ovvero codice che genera guadagni attraverso la simulazione di click su inserzioni pubblicitarie eseguite in background.
La scoperta è stata confermata da Bill Budington della EFF (Electronic Frontier Foundation). Il malware è stato trovato anche su altri modelli: AllWinner T95Max, RockChip X12 Plus e RockChip X88 Pro 10. I cybercriminali possono accedere da remoto ai dispositivi e installare qualsiasi infezione o rubare i dati attraverso la rete locale dell’ignara vittima.
Milisic ha contattato i provider che ospitano i server per interrompere la connessione, ma la botnet potrebbe ritornare in futuro. Dato che la rimozione del malware non è alla portata di tutti, il ricercatore suggerisce di buttare il box nella spazzatura. Amazon dovrebbe inoltre evitare la vendita di questi dispositivi.
Aggiornamento (29/05/2023): Google ha comunicato che questi box includono app Google e Play Store, ma non hanno ricevuto la certificazione Play Protect. Il consiglio è quello di acquistare solo dispositivi certificati.