ВСЛУХ

ТВ-приставки продавали с вирусами прямо в заводской прошивке

ТВ-приставки продавали с вирусами прямо в заводской прошивке
Андроид-приставки с Ozon и Wildberrys могут быть опасны для покупателей. Разработчики устройства вложили в ПО устройства код, который связывается с посторонними серверами, может скачивать и устанавливать вредоносное ПО и, в конечном итоге, следить за пользователем и использовать его устройство для получения прибыли.


Канадский специалист по интернет-безопасности Дэниэль Миильшич «разобрал» ПО приставки T95, приобретенной на Aliexpress и поделился результатами исследования в совоем GitHub-аккаунте.

Ваш T95 заражен предустановленной вредоносной программой, готовой делать все, что решат серверы C2. Да, вредоносное ПО с Amazon прямо к вашей двери! Если они настаивают на продаже этих устройств, им действительно следует добавить категорию «Включает вредоносное ПО» в раздел Android TV.

Несколько месяцев назад я купил приставку T95 Android TV; он поставлялся с Android 10 (с работающим магазином Play) и процессором Allwinner H616. Это небольшая черная коробка с синим завихрением сверху и цифровыми часами спереди. Должно быть, тысячи (или больше!) таких ящиков уже используются по всему миру.

Я купил устройство и именно обнаружил, насколько эта коробка нашпигована вредоносными программами. После запуска я установил DNS1 и DNS2 приставки на 127.0.0.1 и получил адский сюрприз. Коробка связывалась со многими известными адресами активных вредоносных программ.

После безуспешных поисков чистого ПЗУ я решил удалить вредоносное ПО в последней попытке сделать T95 полезным. Я обнаружил слои поверх слоев вредоносного ПО, отслеживающего трафик, и отследил его до вызывающего нарушение процесса/APK, который затем удалил из ПЗУ.

Последняя часть вредоносного ПО, которое я не смог отследить, выглядит глубоко внедренным в ПЗУ. Это довольно сложное вредоносное ПО, напоминающее по принципу действия CopyCat. Ни один из антивирусных продуктов, которые я пробовал, не нашел его.

— Дэниэль Миильшич.

Мильшич разработал скрипт для удаления опасного ПО и выложил его в общий доступ на своем GitHub. Здесь же подробная инструкция на английском по использованию «лекарства».

Автор:

Мы в Мы в Яндекс Дзен
GitHub сообщает, что хакеры клонировали сертификаты подписи кода во взломанном репозиторииDDR4 против DDR5: что такое оперативная память DDR5 и стоит ли ее обновлять?

Чужие земли

Чужие земли

Ученая НАСА рассказала о 70 мирах, где есть все необходимое для существования жизни....
  • 1 889
Т — значит теплокровный

Т — значит теплокровный

Тираннозавр все-таки оказался c горячей кровью. Но, как всегда, дьявол скрывается в деталях....
  • 685