TEKNO.pemkab.comKotak TV Android Amazon sudah diinstal sebelumnya dengan malware

Seorang administrator sistem Kanada menemukan bahwa kotak TV Android yang dibeli dari Amazon telah dimuat sebelumnya dengan malware canggih dan persisten yang tertanam di sistem operasinya.

Malware tersebut ditemukan oleh Daniel Milisic, yang membuat skrip dan instruksi untuk membantu pengguna membatalkan muatan dan menghentikan komunikasinya dengan server C2 (command and control).

Perangkat yang dimaksud adalah T95 Android TV Box dengan prosesor AllWinner T616, yang tersedia secara luas melalui Amazon, AliExpress, dan platform e-niaga besar lainnya.

Tidak jelas apakah perangkat individual ini terpengaruh atau apakah semua perangkat dengan model atau merek ini memiliki komponen berbahaya.

Malware di kotak TV

T95 Streamer menggunakan ROM berbasis Android 10 yang dibuka kuncinya dengan kunci tes bertanda tangan dan ADB (Android Debug Bridge) melalui Ethernet dan WiFi.

Ini adalah konfigurasi yang dipertanyakan karena ADB dapat digunakan untuk terhubung ke perangkat untuk akses sistem file tak terbatas, eksekusi perintah, penginstalan perangkat lunak, modifikasi data, dan kendali jarak jauh.

Namun, karena sebagian besar perangkat streaming konsumen berada di belakang firewall, pelaku ancaman tidak mungkin dapat terhubung dari jarak jauh ke ADB.

Milisic mengatakan dia awalnya membeli perangkat untuk menjalankan DNS Pi-hole, yang melindungi perangkat dari konten yang tidak diinginkan, iklan, dan situs berbahaya tanpa menginstal perangkat lunak.

Saat menganalisis permintaan DNS pada Pi-hole, Milisic melihat bahwa mesin sedang mencoba untuk terhubung ke beberapa alamat IP yang terkait dengan malware aktif.

Kotak TV Android Amazon sudah diinstal sebelumnya dengan malware
Daftar domain berbahaya yang coba disambungkan oleh T95 (GitHub)

Milisic yakin malware yang terpasang di perangkat adalah “CopyCat”, malware Android canggih yang pertama kali ditemukan oleh Check Point pada 2017. Malware tersebut sebelumnya terlihat dalam kampanye iklan yang menginfeksi 14 juta perangkat Android untuk menghasilkan keuntungan lebih dari $1.500.000 bagi operatornya.

Analis menjelaskan dalam posting GitHub: “Saya menemukan lapisan di atas lapisan malware menggunakan ‘tcpflow’ dan ‘nethogs’ untuk memantau lalu lintas dan melacaknya kembali ke proses pelanggaran/APK yang kemudian saya hapus dari ROM.”

Malware terakhir yang belum dapat saya lacak menyuntikkan proses ‘system_server’ dan tampaknya berada jauh di dalam ROM.

Analis mengamati bahwa malware berusaha menerima muatan tambahan dari ‘ycxrl.com’, ‘cbphe.com’ dan ‘cbpheback.com’.

Karena menemukan ROM bersih untuk menggantikan yang jahat sama menantangnya, Milisic terpaksa mengubah DNS C2 untuk mengalihkan permintaan melalui server web Pi-hole, sehingga memungkinkan untuk memblokirnya.

Pengguna T95 disarankan untuk mengikuti dua langkah sederhana ini untuk membersihkan perangkat mereka dan membatalkan malware yang berjalan di dalamnya:

  1. Reboot ke mode pemulihan atau “reset pabrik” dari menu pengaturan.
  2. Setelah mem-boot ulang, sambungkan ke ADB melalui USB atau WiFi-Ethernet dan jalankan skrip ini.

Untuk memastikan bahwa malware tersebut tidak berbahaya, “adb logcat | grep CorejavaDan periksa itu chmod Perintah itu tidak dijalankan

Namun, karena perangkat ini relatif murah di Amazon, mungkin lebih bijaksana untuk menundanya jika Anda mampu membelinya.

Pasar elektronik yang tidak jelas

Sayangnya, perangkat TV box murah berbasis Android ini mengikuti jalan yang suram dari diproduksi di China hingga mencapai pasar global.

Dalam banyak kasus, perangkat ini dijual dengan berbagai merek dan nama perangkat, tanpa indikasi dari mana asalnya.

Selain itu, karena perangkat biasanya mengalir melalui banyak tangan, penjual dan pengecer memiliki banyak peluang untuk memuat ROM khusus yang berpotensi berbahaya ke perangkat.

Meskipun sebagian besar situs e-niaga memiliki kebijakan untuk mencegah penjualan perangkat yang dimuat sebelumnya dengan malware, hampir tidak mungkin untuk menegakkan aturan ini dengan memeriksa secara menyeluruh semua perangkat elektronik dan memverifikasi bahwa perangkat tersebut bebas dari malware canggih.

Untuk menghindari risiko tersebut, Anda dapat memilih perangkat streaming dari vendor terkemuka seperti Google Chromecast, Apple TV, NVIDIA Shield, Amazon Fire TV, dan Roku Stick.

BleepingComputer berusaha menghubungi penjual yang terdaftar di Amazon tetapi tidak menemukan situs web atau alamat email yang terkait dengan merek tersebut.