ТВ-приставки продавали с вирусами прямо в заводской прошивке

Ваш T95 заражен предустановленной вредоносной программой, готовой делать все, что решат серверы C2. Да, вредоносное ПО с Amazon прямо к вашей двери! Если они настаивают на продаже этих устройств, им действительно следует добавить категорию «Включает вредоносное ПО» в раздел Android TV.

Несколько месяцев назад я купил приставку T95 Android TV; он поставлялся с Android 10 (с работающим магазином Play) и процессором Allwinner H616. Это небольшая черная коробка с синим завихрением сверху и цифровыми часами спереди. Должно быть, тысячи (или больше!) таких ящиков уже используются по всему миру.

Я купил устройство и именно обнаружил, насколько эта коробка нашпигована вредоносными программами. После запуска я установил DNS1 и DNS2 приставки на 127.0.0.1 и получил адский сюрприз. Коробка связывалась со многими известными адресами активных вредоносных программ.

После безуспешных поисков чистого ПЗУ я решил удалить вредоносное ПО в последней попытке сделать T95 полезным. Я обнаружил слои поверх слоев вредоносного ПО, отслеживающего трафик, и отследил его до вызывающего нарушение процесса/APK, который затем удалил из ПЗУ.

Последняя часть вредоносного ПО, которое я не смог отследить, выглядит глубоко внедренным в ПЗУ. Это довольно сложное вредоносное ПО, напоминающее по принципу действия CopyCat. Ни один из антивирусных продуктов, которые я пробовал, не нашел его.