Недавно консультант по системной безопасности Даниэль Милисич обнаружил, что телевизионный бокс с ОС Android, приобретенный на Amazon, был предварительно загружен устойчивым, сложным вредоносным ПО, встроенным в его прошивку. Потоковое устройство T95 использует ПЗУ на базе Android 10, подписанное тестовыми ключами и ADB (Android Debug Bridge), открытое через Ethernet и WiFi. Это подозрительная конфигурация, поскольку ADB может использоваться для подключения к устройствам для неограниченного доступа к файловой системе, выполнения команд, установки программного обеспечения, модификации данных и удаленного управления.
Анализируя DNS-запросы в Pi-hole, Милишич обнаружил, что устройство пытается подключиться к нескольким IP-адресам, связанным с активным вредоносным ПО. Милишич считает, что вредоносная программа, установленная на устройстве, представляет собой штамм, похожий на "CopyCat", сложную вредоносную программу для Android, впервые обнаруженную Check Point в 2017 году. Ранее эта вредоносная программа была замечена в рекламной кампании, в ходе которой она заразила 14 миллионов Android-устройств и принесла своим операторам прибыль в размере более 1 500 000 долларов США.
Indicators of Compromise
Domains
- ycxrldow.com
MD5
- f9802b1168d5832d32c229776cd9b9aa
- eb850022e4269bb1dab9fc5d2b0b734f
SHA1
- 5d2c2f4861ad695f6393a36db2b0bd57ffbc5e82
- b067f618857b7f103bf8f2f2cba99e0551e41677
SHA256
- 17318829c6fb47866de16fb216f3684105eae5e9f1fa5744fb1cc93da2b7c57e
- a2b166c902aa1626350dd32788ce6f83e2087c9799dd38b4ff3649cf7cc8686c