Daniel Milisic é um administrador de sistemas canadense que revelou ter comprado há meses uma TV Box com Android modelo T95 através da Amazon que veio com malware pré-instalado em seu firmware. A ameaça descoberta comunicava-se com um servidor de comando e controle (C&C) esperando instruções do cibercriminoso.

Este modelo de dispositivo está disponível através de sites como a Amazon ou AliExpress. Entretanto, não sabemos se o malware estava apenas neste dispositivo de forma pontual ou se o mesmo se aplica a outros dispositivos deste modelo e marca.

A TV Box com Android usa uma ROM baseada no Android 10 que foi assinado com chaves de teste. O pesquisador também descobriu que o Android Debug Bridge (ADB), uma ferramenta de linha de comando que permite a comunicação com outro dispositivo, estava aberto via Ethernet e Wi-Fi, explica Milisic em uma publicação no GitHub. Vale destacar que esta configuração do Adobe Debug Bridge pode ser utilizada por um cibercriminoso para instalar software, executar comandos, modificar dados e controlar o dispositivo de forma remota.

Veja mais: Smart TV: uma porta de entrada para os cibercriminosos?

"Tinha pensado em comprar a TV box Android T95 para executar o Pi-hole", explica Milisic. E foi assim que ele descobriu o comportamento malicioso, já que depois de instalar o Pi-hole e verificar os pedidos DNS, "descobri que o dispositivo estava tentando alcançar endereços IP associados a campanhas de malware", diz ele.

De acordo com a avaliação do pesquisador, trata-se de um malware sofisticado que tem certas semelhanças com outro malware para Android descoberto em 2017, conhecido como CopyCat. As soluções ESET detectam a ameaça como uma variante do Android/TrojanDropper.Agent.DLI. Como o nome sugere, esta é uma detecção genérica para um tipo de malware com características de dropper. Esta forma de malware é um tipo de trojan cuja principal função é liberar outro programa malicioso no dispositivo da vítima. De fato, de acordo com as descobertas de Milisic, em um estágio de sua atividade maliciosa, o código tenta baixar um payload adicional por meio de alguns endereços.

Neste caso, o pesquisador tentou procurar sem sucesso uma ROM limpa para substituir a que vinha com o dispositivo. Mas o que ele conseguiu fazer foi bloquear o malware alterando o DNS da C&C para enviar a solicitação através do servidor Pi-hole.

Orientações

Milisic destaca algumas dicas para os usuários do T95 Android TV box:

  • Reiniciar no modo de recuperação ou executar um reset de fábrica através do menu de configurações;
  • Limpar o dispositivo, assim que o computador for inicializado, conectar-se ao Android Debug Bridge (ADB) via USB ou Wi-Fi/Ethernet e executar o este script.

Para verificar se o script foi executado corretamente, recomenda-se executar "adb logcat | grep Corejava" e verificar se o comando chmod falhou em executar.

Caso queira conferir mais informações sobre o caso, veja a publicação completa de Daniel Milisic no GitHub.