Android-TV-Box kommt mit tief in die Firmware integrierte Malware

John Woll, 13.01.2023 18:45 Uhr 4 Kommentare
Das Produkt war auch auf Amazon Deutschland erhältlich, bei genauer Untersuchung aber mit Malware verseucht. Ein ka­na­di­scher Sicherheitsforscher hat auf einer Android-TV-Box vor­in­stal­lier­te Schadsoftware entdeckt, die sehr tief mit der Firm­ware ver­zahnt wurde.

Android-TV-Box kommt total verseucht

Das Internet der Dinge ist für Entwickler und Verbreiter von Schadsoftware sehr interessant. Gerade auf kleinen Geräten kann beispielsweise Adware oft unerkannt bleiben, da Nutzer hier nur selten über Updates oder Sicherheitsmaßnahmen nachdenken. Im aktuellen Fall konnte der kanadische Sicherheitsforscher Daniel Milisic eine Android-TV-Box überführen, weil diese auffällige Anfragen ans Internet gestellt hatte.


Wie Bleepingcomputer berichtet, hatte Milisic das Modell "T95 Android TV-Box mit AllWinner T616 Prozessor" erworben, das neben Amazon auch bei vielen anderen großen Plattformen gelistet ist - darunter auch Händler in Deutschland. Außerdem kommt erschwerend hinzu: Oft werden dieselben Geräte unter verschiedenen Marken und Namen verkauft. Allerdings ist zum aktuellen Zeitpunkt noch unklar, ob alle Geräte dieses Modells oder gar dieser Marke die schädliche Komponente enthalten.

Milisic war die verdächtige Aktivität der TV-Box bei der Einrichtung der Software Pi-Hole aufgefallen, mit der Verbindungen auf DNS-Ebene kontrolliert werden können. Wie der Sicherheitsforscher bei der Untersuchung der DNS-Anfragen feststellen musste, versuchte das Gerät mit einer ganzen Reihe an IP-Adressen Verbindung aufzubauen, die wiederum mit Malware in Verbindung gebracht werden.

Alter Bekannter

Nach einer ersten Analyse scheint auf der Android TV-Box ein Ableger des "CopyCat"-Schädlings zu laufen, einer sehr ausgeklügelten Malware, die 2017 erstmals entdeckt worden war. "Ich fand Schichten über Schichten von Malware (...) und verfolgte sie bis zum angreifenden Prozess zurück, den ich dann aus dem ROM entfernte", erklärt der Analyst in einem GitHub-Post. "Das letzte Stück Malware, das ich nicht aufspüren konnte, injiziert den 'system_server'-Prozess und scheint tief in das ROM eingebettet zu sein."

Siehe auch:
4 Kommentare lesen & antworten
Folge WinFuture auf Google News
Verwandte Themen
Android Amazon
Desktop-Version anzeigen
Hoch © 2023 WinFuture Impressum Datenschutz Cookies