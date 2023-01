Een via Amazon verkochte tv-box blijkt malware te bevatten die diep in het besturingssysteem zit genesteld en aanvallers controle over het apparaat geeft, zo stelt beveiligingsonderzoeker Daniel Milisic. Of het om een enkel exemplaar gaat of alle modellen van dit merk en fabrikant besmet zijn is onbekend.

Een aantal maanden geleden kocht Milisic een T95, een Android tv-box voor het bekijken van films en spelen van games. De geïnstalleerde Android-versie was volgens de onderzoeker zeer dubieus en gesigneerd met test-keys. Verder bleek dat de Android Debug Bridge (adb) standaard via ethernet en wifi toegankelijk was. ADB is een tool om Android-apparaten bijvoorbeeld via een computer mee te benaderen. Normaliter is het niet toegankelijk via internet.

De malware maakt verbinding met een command & control (C2)-server en kan zo opdrachten van de aanvaller uitvoeren. Geen van de virusscanners die Milisic gebruikte detecteerde de malware, die volgens de onderzoeker erg veel lijkt op de CopyCat-malware. Deze malware installeert allerlei apps waarvoor de aanvaller wordt betaald en laat allerlei advertenties zien. Doordat de malware zo diep in het besturingssysteem zit genesteld is die lastig voor doorsnee gebruikers te verwijderen. Als oplossing ontwikkelde Milisic een script dat de verbinding met de C2-server blokkeert. De Android tv-box wordt ook via de Nederlandse Amazon aangeboden.