Канадский специалист по интернет-безопасности Дэниэль Миильшич «разобрал» ПО приставки T95, приобретенной на Aliexpress и поделился результатами исследования в совоем GitHub-аккаунте.
Ваш T95 заражен предустановленной вредоносной программой, готовой делать все, что решат серверы C2. Да, вредоносное ПО с Amazon прямо к вашей двери! Если они настаивают на продаже этих устройств, им действительно следует добавить категорию «Включает вредоносное ПО» в раздел Android TV.
Несколько месяцев назад я купил приставку T95 Android TV; он поставлялся с Android 10 (с работающим магазином Play) и процессором Allwinner H616. Это небольшая черная коробка с синим завихрением сверху и цифровыми часами спереди. Должно быть, тысячи (или больше!) таких ящиков уже используются по всему миру.
Я купил устройство и именно обнаружил, насколько эта коробка нашпигована вредоносными программами. После запуска я установил DNS1 и DNS2 приставки на 127.0.0.1 и получил адский сюрприз. Коробка связывалась со многими известными адресами активных вредоносных программ.
После безуспешных поисков чистого ПЗУ я решил удалить вредоносное ПО в последней попытке сделать T95 полезным. Я обнаружил слои поверх слоев вредоносного ПО, отслеживающего трафик, и отследил его до вызывающего нарушение процесса/APK, который затем удалил из ПЗУ.
Последняя часть вредоносного ПО, которое я не смог отследить, выглядит глубоко внедренным в ПЗУ. Это довольно сложное вредоносное ПО, напоминающее по принципу действия CopyCat. Ни один из антивирусных продуктов, которые я пробовал, не нашел его.
Несколько месяцев назад я купил приставку T95 Android TV; он поставлялся с Android 10 (с работающим магазином Play) и процессором Allwinner H616. Это небольшая черная коробка с синим завихрением сверху и цифровыми часами спереди. Должно быть, тысячи (или больше!) таких ящиков уже используются по всему миру.
Я купил устройство и именно обнаружил, насколько эта коробка нашпигована вредоносными программами. После запуска я установил DNS1 и DNS2 приставки на 127.0.0.1 и получил адский сюрприз. Коробка связывалась со многими известными адресами активных вредоносных программ.
После безуспешных поисков чистого ПЗУ я решил удалить вредоносное ПО в последней попытке сделать T95 полезным. Я обнаружил слои поверх слоев вредоносного ПО, отслеживающего трафик, и отследил его до вызывающего нарушение процесса/APK, который затем удалил из ПЗУ.
Последняя часть вредоносного ПО, которое я не смог отследить, выглядит глубоко внедренным в ПЗУ. Это довольно сложное вредоносное ПО, напоминающее по принципу действия CopyCat. Ни один из антивирусных продуктов, которые я пробовал, не нашел его.
— Дэниэль Миильшич.
Мильшич разработал скрипт для удаления опасного ПО и выложил его в общий доступ на своем GitHub. Здесь же подробная инструкция на английском по использованию «лекарства».