AllWinner und RockChip sind vielleicht keine bekannten Namen, aber die beiden in China ansässigen Unternehmen betreiben mehrere äußerst beliebte Android-TV-Boxen, die bei Amazon verkauft werden.
Diese Android-basierten TV-Set-Top-Boxen sind in der Regel günstig und hochgradig anpassbar, da sie mehrere Streaming-Dienste in einem einzigen Gerät packen, anstatt separate Hardware zu kaufen. Ihre Angebote auf Amazon weisen eine Bewertung von vier von fünf Sternen auf und haben zusammen Tausende von lobenswerten Rezensionen erhalten.
Sicherheitsforscher sagen jedoch, dass die Modelle mit vorinstallierter Malware verkauft werden, die in der Lage ist, koordinierte Cyberangriffe zu starten.
Letztes Jahr kaufte Daniel Milisic eine AllWinner T95-Set-Top-Box und stellte fest, dass die Firmware des Chips mit Malware infiziert war. Milisic gefunden dass die Android-basierte Set-Top-Box mit Befehls- und Kontrollservern kommunizierte und auf Anweisungen zum nächsten Vorgehen wartete. Seine laufenden Ermittlungen, die er hat auf GitHub veröffentlichtstellte fest, dass sein T95-Modell sofort eine Verbindung zu einem größeren Botnetz aus Tausenden anderen mit Malware infizierten Android-TV-Boxen in Haushalten und Büros auf der ganzen Welt herstellte.
Milisic sagte, die Standardnutzlast der Malware sei ein Clickbot, im Wesentlichen Code, der Werbegelder generiert, indem er heimlich auf Anzeigen im Hintergrund tippt. Nachdem die betroffenen Android-TV-Boxen eingeschaltet wurden, kontaktiert die vorinstallierte Malware sofort einen Befehls- und Kontrollserver, holt sich Anweisungen, wo sich die benötigte Malware befindet, und lädt zusätzliche Payloads auf das Gerät, das den Ad-Click-Betrug durchführt.
„Aber aufgrund der Art und Weise, wie die Malware konzipiert ist, können die Autoren jede gewünschte Nutzlast verbreiten“, sagte Milisic gegenüber Tech.
EFF-Sicherheitsforscher Bill Budington unabhängig bestätigt Milisics Erkenntnisse, nachdem er ebenfalls ein betroffenes Gerät bei Amazon gekauft hatte. Mehrere andere Android-TV-Modelle von AllWinner und RockChip sind ebenfalls mit der Malware vorinstalliert, darunter AllWinner T95Max, RockChip X12 Plus und RockChip X88 Pro 10.
Ein Screenshot des bei Amazon gelisteten AllWinner T95. Bildnachweis: Tech (Screenshot)
Botnetze bestehen normalerweise aus Hunderten, wenn nicht Tausenden oder Millionen kompromittierten Geräten auf der ganzen Welt. Die Betreiber hinter dem Botnetz können dieses riesige bösartige Netzwerk nutzen, um Kryptowährungen auf einem betroffenen Gerät zu schürfen, Daten (falls vorhanden) von dem Gerät oder dem Netzwerk, mit dem es verbunden ist, zu stehlen oder die kollektive Internetbandbreite dieser Geräte zu nutzen, um andere Websites und Internetserver zu attackieren mit Junk-Traffic, einem sogenannten Distributed-Denial-of-Service-Angriff, der sie offline bringt.
Milisic forderte das Internetunternehmen, das die Befehls- und Kontrollserver hostet, die Anweisungen an das breitere Botnetz verteilten, auf, diese Server offline zu schalten, und die Server, auf denen die Ad-Click-Malware gehostet wurde, verschwanden kurze Zeit später. Er warnte jedoch davor, dass das Botnetz jederzeit mit neuer Infrastruktur zurückkehren könnte.
Es ist nicht klar, wie groß das Botnetz ist. „Es ist schwierig, die Größe dieses Netzwerks zu quantifizieren“, sagte Budington gegenüber Tech. „Was wir wissen ist, dass es überall, wo wir hinschauen, verschiedene Varianten von Android-Trojaner-Malware gibt, die Malware der nächsten Stufe von denselben IP-Adressen herunterlädt, die in der Vergangenheit an Angriffen auf die Lieferkette beteiligt waren. Es ist eine beeindruckende und beunruhigende Operation.“
Milisic und Budington stellen fest, dass es für den Durchschnittsbenutzer keine einfache Möglichkeit gibt, die Malware zu entfernen. Für betroffene Benutzer könnte es die beste Option sein, die Verpackung ganz wegzuwerfen.
„Ich denke, die einzige Möglichkeit, dieses Problem zu mildern, besteht darin, die Einzelhändler an einen höheren Standard zu halten“, sagte Milisic gegenüber Tech. Unter Bezugnahme auf Online-Verkäufer wie Amazon: „Es ist ihnen nicht gestattet, Kinderspielzeug aus sich drehenden Rasierklingen zu verkaufen. Warum ist es in Ordnung, dass kleine, unbekannte Anbieter Computer verkaufen, die böswillig agieren, ohne das Wissen und die Erlaubnis der Besitzer?“
Auf Anfrage von Tech wollte Amazon-Sprecher Adam Montgomery nicht sagen, ob Amazon die Sicherheit der von ihm verkauften Geräte überprüft oder ob es plant, die betreffenden Geräte mit Schadsoftware aus dem Verkauf zu nehmen.
AllWinner und RockChip antworteten nicht auf Anfragen nach Kommentaren.
In den letzten Jahren gab es Bestrebungen, die Standards der Hardware-Sicherheit zu verbessern. Die Biden-Regierung sagte, sie plane, in diesem Jahr ein Kennzeichnungssystem für mit dem Internet verbundene Geräte einzuführen, um Gerätehersteller zu ermutigen, ihre Gerätesicherheit zu verbessern, beispielsweise durch das Hinzufügen von Update-Mechanismen, um Sicherheitslücken zu schließen. Im Jahr 2018 verabschiedete Kalifornien ein Gesetz, das es verbietet, mit dem Internet verbundene Geräte mit Standard- und leicht zu erratenden Passwörtern auszustatten, die von Kriminellen oft genutzt werden, um Geräte zu hacken und sie in ein Botnetz einzubinden.
Zum Zeitpunkt des Verfassens dieses Artikels sind die betroffenen Modelle AllWinner und RockChip noch auf Amazon erhältlich.