Daniel Milisic es un administrador de sistemas canadiense que reveló que meses atrás compró a través de Amazon un Android TV Box modelo T95 que venía con un código malicioso precargado en su firmware. El malware descubierto se comunicaba con un servidor de comando y control (C&C) a la espera de instrucciones del lado cibercriminal.

Este modelo de dispositivo puede conseguirse fácilmente a través de plataformas como Amazon o AliExpress. Sin embargo, no está claro si el malware estaba solamente en este equipo puntualmente o si esto mismo sucede en otros equipos de este modelo y marca.

Este Android TV Box utiliza un ROM basado en Android 10 firmado con claves de prueba. Un elementó que despertó sospecha en el especialista es que descubrió que Android Debug Bridge (ADB), una herramienta de línea de comando que permite comunicarte con otro dispositivo, estaba abierta a través de Ethernet y Wi-Fi, explica Milisic en una publicación en GitHub. Vale la pena mencionar que esta configuración de Adobe Debug Bridge puede ser utilizada por un atacante para instalar software, ejecutar comandos, modificar datos y controlarlo remotamente.

“Tenía pensado comprar el Android TV Box y hacerlo correr con Pi-hole”, explica Milisic. Y por eso fue que descubrió el comportamiento malicioso, ya que tras instalar Pi-hole y revisar las solicitudes DNS “encontré que el dispositivo estaba buscando establecer contacto con varias direcciones IP activas asociadas a malware”, menciona.

De acuerdo a la evaluación del especialista, se trata de un malware sofisticado que tiene ciertas similitudes con otro malware para Android descubierto en 2017, conocido como CopyCat. Al momento de escribir este artículo esta pieza de malware es detectada en VirusTotal por 17 soluciones de seguridad.  Las soluciones de ESET la detectan como una variante de Android/TrojanDropper.Agent.DLI. Como su nombre lo indica, se trata de una detección genérica para un tipo de malware con características de dropper. Esta forma de malware es un tipo de troyano cuya función principal es liberar en el dispositivo de la víctima otro programa malicioso. De hecho, según los hallazgos de Milisic en una fase de su actividad maliciosa el código intenta descargar un payload adicional desde algunas direcciones.

En este caso, el especialista intento conseguir un ROM limpio para poder reemplazar el que venía en el equipo, pero no lo consiguió. Pero lo que si logró fue bloquearlo al cambiar la DNS del C&C para que envíe la solicitud a través del servidor web de Pi-hole.

Recomendaciones

Para los usuarios de Android TV Box T95, Milisic aconseja

• Reiniciar en modo recuperación o ejecutar desde el menú configuración la restauración con los valores de fábrica.
• Luego, para limpiar el dispositivo, una vez que inició el equipo conectarse al Android Debug Bridge (ADB) vía USB o Wi-Fi/Ethernet y ejecutar el siguiente script.

Para verificar que el script se ejecutó correctamente recomienda ejecutar “adb logcat | grep Corejava” y comprobar que el comando chmod falló y no logró ejecutarse.

Para más información, consultar la publicación en GitHub de Daniel Milisic.

Fuentes:

https://www.welivesecurity.com/la-es/2023/01/16/android-tv-box-comprado-amazon-con-malware/