2023/01/13

TV Box Android da Amazon com malware pré-instalado

Um analista de segurança foi surpreendido ao descobrir que uma box Android comprada na Amazon vinha com malware instalado de origem.

A box Android é um modelo bastante genérico e popular, a T95 com chip AllWinner T616. No entanto, além de fazer aquilo que seria esperado, continha alguns elementos adicionais preocupantes.

Os sinais suspeitos começaram desde logo por usar uma versão do Android com chaves de teste e com o ADB activado, que dá acesso a todo um conjunto de possibilidades de manipular o sistema. Mas a confirmação veio quando, ao fazer aquilo que tinha planeado fazer com a caixa - utilizá-la para instalar o Pi-hole e servir de filtro de acesso à internet - e imediatamente recebeu os alertas de que a caixa estava a tentar aceder a endereços relacionados com servidores de malware.
Uma vez que não conseguiu encontrar um firmware "original" para a caixa, o processo consistiu em remover o máximo de malware que conseguiu, mas havendo um elemento final que parece estar tão integrado no sistema que, a única solução foi deixá-lo permanecer mas bloquear as suas comunicações para que não pudesse efectuar qualquer tarefa maliciosa.

A grande questão será saber se este terá sido um caso isolado, ou se se trata de algo que está a ocorrer em larga escala, com potencialmente milhares de boxes a serem vendidas com este malware pré-instalado.

Este caso relembra também a necessidade de, com cada vez mais dispositivos ligados à internet em nossas casas, ser cada vez mais importante que os routers tenham capacidade para detectar este tipo de ligações potencialmente maliciosas e alertar os utilizadores. Caso contrário, algo deste tipo passaria completamente despercebido à maioria dos utilizadores.

3 comentários:

  1. O título do artigo não corresponde à verdade.

    ResponderEliminar
  2. A box não só não é um produto da marca Amazon, como nem sequer é vendida pela mesma. Basta abrir o link do github, e seguir para o link da Amazon para ver que Amazon não vende estas caixas Android chinesas, apenas a armazena e distribui para outros vendedores.

    ResponderEliminar

[pub]