Siber güvenlik araştırmacıları, kötü amaçlı yazılımlarla önceden yüklenmiş olarak çevrimiçi olarak satılan iki popüler Android TV kutusu ürününü keşfetti.
Siber güvenlik araştırmacısı Daniel Milisic’in bulgularına göre, kötü amaçlı yazılım, sahiplerinin bilgisi veya izni olmadan arka planda reklamlara tıklayarak saldırganlar için gelir elde ediyor.
Milisic, beş üzerinden dört yıldız derecesine ve sayısız incelemeye sahip popüler bir alıcı kutusu olan AllWinner T95’i satın almak için Amazon’a gitti. TV kutusu, birden fazla akış hizmetiyle birlikte gelir, özelleştirilebilir ve nispeten düşük fiyatı (nakliye hariç yaklaşık 40 ABD doları) için genellikle iyi bir değer olarak kabul edilir.
Etkileyici ve rahatsız edici
Ancak, öğeyi aldıktan kısa bir süre sonra Milisic, aracın bir C2 sunucusuyla iletişim kurduğunu ve belirli talimatları beklediğini keşfetti. Daha derin bir araştırma, cihazın tüm dünyada sayısız cihazdan oluşan daha geniş bir botnet’e bağlandığını gösterdi. Talimatlar, reklam tıklaması sahtekarlığı gerçekleştiren ikinci aşama kötü amaçlı yazılımı indirmek içindi.
Bulgularını GitHub’da yayınladıktan sonra, yalnızca MIlisic’in bulgularını doğrulamakla kalmayıp aynı şeyi yapan başka cihazlar olduğunu da söyleyen EFF güvenlik araştırmacısı Bill Budington da dahil olmak üzere diğer araştırmacılar destek için seslendi. İşte virüslü cihazlardan bazıları: AllWinner T95Max, RockChip X12 Plus ve RockChip X88 Pro 10.
Milisic, C2 sunucularını barındıran internet şirketine ulaşarak bunların kapatılmasını istedi ve şirket hızla gereğini yaptı. Ancak, tehdit aktörlerini başka bir yerde bir C2 sunucusu kurmak ve faaliyetlerine devam etmek için hiçbir şeyin durduramayacağını söylüyor.
Ile konuşmak TechCrunchBudington şaşkınlığını gizlemedi: “Etkileyici ve rahatsız edici bir operasyon” dedi.
“Bu ağın ölçeğini ölçmek zor. Bildiğimiz şey, baktığımız her yerde, geçmişte tedarik zinciri saldırılarına karışmış olan aynı IP grubundan sonraki aşama kötü amaçlı yazılımları indiren farklı Android truva atı kötü amaçlı yazılım varyantları olduğu.
Araştırmacılar, en kötüsü, ortalama bir kullanıcının bu tür yazılımları TV kutularından nasıl kuracağını veya kaldıracağını gerçekten bilmemesidir. Onlar için en iyi hareket tarzı, cihazları daha güvenilir bir şeyle değiştirmek olacaktır. Araştırmacılar için, bayileri daha yüksek bir standartta tutmaları ve donanımı daha fazla incelemeleri gerektiğine inanıyor.
“Dönen jiletlerden yapılmış çocuk oyuncaklarını satmalarına izin verilmiyor, neden küçük, bilinmeyen satıcıların sahiplerinin bilgisi ve izni olmadan kötü niyetli hareketlerle bilgisayar satmalarına izin veriliyor?”
Aracılığıyla: TechCrunch