Android TV Box, купленный на Amazon, поставляется с предустановленным вредоносным ПО

security IOC

Недавно консультант по системной безопасности Даниэль Милисич обнаружил, что телевизионный бокс с ОС Android, приобретенный на Amazon, был предварительно загружен устойчивым, сложным вредоносным ПО, встроенным в его прошивку. Потоковое устройство T95 использует ПЗУ на базе Android 10, подписанное тестовыми ключами и ADB (Android Debug Bridge), открытое через Ethernet и WiFi. Это подозрительная конфигурация, поскольку ADB может использоваться для подключения к устройствам для неограниченного доступа к файловой системе, выполнения команд, установки программного обеспечения, модификации данных и удаленного управления.


Анализируя DNS-запросы в Pi-hole, Милишич обнаружил, что устройство пытается подключиться к нескольким IP-адресам, связанным с активным вредоносным ПО. Милишич считает, что вредоносная программа, установленная на устройстве, представляет собой штамм, похожий на "CopyCat", сложную вредоносную программу для Android, впервые обнаруженную Check Point в 2017 году. Ранее эта вредоносная программа была замечена в рекламной кампании, в ходе которой она заразила 14 миллионов Android-устройств и принесла своим операторам прибыль в размере более 1 500 000 долларов США.

Indicators of Compromise

Domains

  • ycxrldow.com

MD5

SHA1

SHA256

SEC-1275-1
Добавить комментарий