Publicidade
Conteúdo apoiado por
Ir para o site do Surfshark!

TV box com Android espiona usuário com malware pré-instalado

Por  • Editado por Claudio Yuge | 

Compartilhe:
Reprodução/Envato
Reprodução/Envato

Uma TV box com o sistema operacional Android trouxe, em seu interior, um malware de monitoramento de tráfego e download de novos vírus. A caixa de baixo custo, denominada T95 e rodando com um processador AllWinner T616, foi adquirida por um especialista em segurança na Amazon dos Estados Unidos, mas também estaria disponível no AliExpress e outras varejistas de tecnologia, inclusive no Brasil.

A descoberta foi feita pelo pesquisador Daniel Milisic, que adquiriu o produto para realizar testes de segurança. Durante o processo, ele encontrou o que parece ser uma variante do CopyCat, um malware para Android que circula desde 2017, principalmente em campanhas voltadas à exibição de anúncios. Aqui, porém, a ameaça parecia estar sendo usada para registrar conexões e baixar novos vírus.

A descoberta veio após uma análise inicial, que exibiu diversas tentativas de conexões a endereços IP que fazem parte de listas de ameaças e estão associados à distribuição de malware. Uma verificação mais profunda, então, revelou diferentes camadas de sistemas voltados a monitorar o tráfego online do dispositivo e enviar as informações a servidores remotos, enquanto tentativas de download de mais ameaças eram feitas a partir de três domínios maliciosos.

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
Continua após a publicidade

Também chamou a atenção de Milisic o fato de um recurso conhecido como ADB, ou Android Debug Bridge), estar aberto a conexões por meio de redes com fio ou Wi-Fi. Teoricamente, essa funcionalidade permitir acesso remoto por atacantes e a execução de comandos no dispositivo, enquanto o uso por trás de firewalls disponíveis na maioria das conexões domésticas impediria essa exploração.

Ainda assim, se trata de mais uma porta aberta em um produto vendido diretamente a consumidores, muitos deles sem experiência e que, simplesmente, conectariam o dispositivo à rede para consumir entretenimento. Com isso, dados de tráfego e informações dos usuários poderiam estar em risco, assim como o download de novas ameaças poderia trazer mineradores de criptomoedas e outros riscos às pessoas e ao dispositivo.

O especialista aponta ainda que não é possível realizar a desinstalação do malware presente no T95 por meios tradicionais. Ele disponibilizou um script customizado que faz a desativação do conjunto malicioso, juntamente com guias de mitigação que envolvem o uso do ADB por meio de uma conexão de rede ou USB, uma vez que nem mesmo uma restauração completa do sistema acaba com a ameaça.

Aos usuários sem intimidade com recursos desse tipo, entretanto, a principal recomendação é interromper a utilização do produto. Na hora de adquirir dispositivos de entretenimento ou qualquer outro tipo de produto, procure revendedores certificados e marcas conhecidas, de forma que o barato não saia caro. Vale a pena, também, proteger redes domésticas com senhas e aplicar atualizações a roteadores e aparelhos conectados, de forma a impedir vetores de ataque comuns.

Fonte: Daniel Milisic (GitHub)