Опасный сюрприз в коробке: Android TV Box с Amazon заражает устройства вредоносным ПО

Устройство работало под управлением Android 10, однако его прошивка была подписана тестовыми ключами, что само по себе является тревожным сигналом. Более того, на боксе был активирован Android Debug Bridge (ADB) - инструмент, предназначенный для разработчиков, который предоставляет практически неограниченный доступ к системе. Через ADB злоумышленники могут получать полный контроль над устройством: просматривать и изменять файлы, устанавливать вредоносные приложения, выполнять произвольные команды и даже управлять гаджетом удаленно. В обычных условиях ADB должен быть отключен на потребительских устройствах, но в данном случае он был доступен как через Ethernet, так и через Wi-Fi, что делало бокс уязвимым для атак из локальной сети и интернета.

Милисич начал подозревать неладное, когда заметил подозрительную активность в своей домашней сети. Используя Pi-hole - систему для блокировки рекламы и отслеживания DNS-запросов, - он обнаружил, что устройство постоянно пытается связаться с несколькими IP-адресами, связанными с известными вредоносными серверами. Дальнейший анализ показал, что встроенное в прошивку вредоносное ПО напоминает штамм CopyCat, сложную угрозу для Android, впервые обнаруженную специалистами Check Point еще в 2017 году.

CopyCat печально известен своей масштабной атакой в прошлом, когда он заразил более 14 миллионов устройств по всему миру. Вредоносная программа действовала скрытно, подменяя рекламу в приложениях и перенаправляя доходы от показов на счета злоумышленников. По оценкам экспертов, тогда киберпреступники заработали на этой схеме более 1,5 миллиона долларов. Новый случай с T95 Box вызывает опасения, что подобные угрозы могут возрождаться, адаптируясь под современные устройства.

Проблема усугубляется тем, что вредоносное ПО было предустановлено на уровне прошивки, что делает его крайне устойчивым к обычным методам удаления. Пользователь может сбросить устройство до заводских настроек или даже переустановить систему, но зловредный код останется, так как он интегрирован в само аппаратное обеспечение. Это означает, что единственным надежным способом обезопасить себя является полная замена прошивки, что требует технических знаний и не всегда возможно без официальной поддержки производителя.

Данный инцидент поднимает важные вопросы о контроле качества на платформах вроде Amazon, где продаются устройства от множества сторонних поставщиков. Покупатели часто доверяют маркетплейсу, предполагая, что все товары проходят проверку на безопасность, но реальность может быть иной. В данном случае неизвестно, был ли T95 Box поддельным устройством или же вредоносное ПО попало в прошивку на этапе производства.

Эксперты по кибербезопасности рекомендуют пользователям быть предельно осторожными при покупке бюджетных Android-устройств, особенно если они поставляются с подозрительными настройками или неофициальными версиями прошивок. Перед использованием нового гаджета стоит проверить его сетевую активность, отключить ненужные сервисы вроде ADB и по возможности установить надежное антивирусное решение. В случае обнаружения подозрительного поведения лучше отказаться от использования устройства и сообщить о проблеме продавцу и платформе.

Этот случай служит очередным напоминанием о том, что киберугрозы могут скрываться даже в самых обычных бытовых устройствах, и бдительность пользователей остается одним из ключевых факторов защиты от подобных атак.

Domains

• ycxrldow.com

MD5

• f9802b1168d5832d32c229776cd9b9aa
• eb850022e4269bb1dab9fc5d2b0b734f

SHA1

• 5d2c2f4861ad695f6393a36db2b0bd57ffbc5e82
• b067f618857b7f103bf8f2f2cba99e0551e41677

SHA256

• 17318829c6fb47866de16fb216f3684105eae5e9f1fa5744fb1cc93da2b7c57e
• a2b166c902aa1626350dd32788ce6f83e2087c9799dd38b4ff3649cf7cc8686c