par AllWinner et RockChip ne sont peut-être pas des noms familiers, mais les deux sociétés basées en Chine alimentent plusieurs boîtiers de télévision Android très populaires vendus sur Amazon.
Ces décodeurs de télévision alimentés par Android sont généralement bon marché et hautement personnalisables, regroupant plusieurs services de streaming dans un seul appareil, plutôt que d’acheter du matériel séparé. Leurs listes sur Amazon affichent une note de quatre étoiles sur cinq et ont collectivement accumulé des milliers de critiques élogieuses.
Mais les chercheurs en sécurité affirment que les modèles sont vendus préchargés avec des logiciels malveillants capables de lancer des cyberattaques coordonnées.
L’année dernière, Daniel Milisic a acheté un décodeur AllWinner T95 et a découvert que le micrologiciel de la puce était infecté par un logiciel malveillant. Milisic a découvert que le décodeur alimenté par Android communiquait avec les serveurs de commande et de contrôle et attendait des instructions sur la marche à suivre. Son enquête en cours, qu’il a publiée sur GitHub, a révélé que son modèle T95 était prêt à l’emploi et se connectait à un plus grand botnet de milliers d’autres boîtiers Android TV infectés par des logiciels malveillants dans les maisons et les bureaux du monde entier.
Milisic a déclaré que la charge utile par défaut du malware est un clickbot, essentiellement un code qui génère de l’argent publicitaire en tapant subrepticement sur des publicités en arrière-plan. Une fois les boîtiers Android TV concernés mis sous tension, le logiciel malveillant préchargé contacte immédiatement un serveur de commande et de contrôle, obtient ses instructions pour savoir où trouver le logiciel malveillant dont il a besoin et envoie des charges utiles supplémentaires à l’appareil qui effectue la fraude au clic publicitaire.
“Mais en raison de la façon dont le malware est conçu, les auteurs peuvent envoyer n’importe quelle charge utile”, a déclaré Milisic à TechCrunch.
Le chercheur en sécurité de l’EFF, Bill Budington, a confirmé de manière indépendante les conclusions de Milisic après avoir également acheté un appareil concerné à Amazon. Plusieurs autres modèles de téléviseurs Android AllWinner et RockChip sont également préchargés avec le logiciel malveillant, notamment AllWinner T95Max, RockChip X12 Plus et RockChip X88 Pro 10.
Une capture d’écran du AllWinner T95 répertorié sur Amazon. Crédits image : TechCrunch (capture d’écran)
Les botnets sont généralement constitués de centaines, voire de milliers ou de millions d’appareils compromis dans le monde. Les opérateurs derrière le botnet peuvent utiliser ce vaste réseau malveillant pour extraire la crypto-monnaie sur un appareil affecté, voler des données (le cas échéant) de l’appareil ou du réseau auquel il est connecté ou exploiter la bande passante Internet collective de ces appareils pour frapper d’autres sites Web et serveurs Internet. avec du trafic indésirable, connu sous le nom d’attaque par déni de service distribué, les mettant hors ligne.
Milisic a demandé à la société Internet hébergeant les serveurs de commande et de contrôle qui ont donné des instructions au botnet plus large pour mettre ces serveurs hors ligne, et les serveurs hébergeant le malware ad-click ont disparu peu de temps après. Il a cependant averti que le botnet pourrait revenir à tout moment avec une nouvelle infrastructure.
La taille du botnet n’est pas claire. “Il est difficile de quantifier l’ampleur de ce réseau”, a déclaré Budington à TechCrunch. « Ce que nous savons, c’est que partout où nous regardons, il existe différentes variantes de logiciels malveillants de type cheval de Troie Android téléchargeant des logiciels malveillants de niveau supérieur à partir du même ensemble d’adresses IP, ceux qui ont été impliqués dans des attaques de la chaîne d’approvisionnement dans le passé. C’est une opération impressionnante et troublante.
Milisic et Budington notent qu’il n’y a pas de moyen facile de supprimer le logiciel malveillant pour l’utilisateur moyen. Jeter complètement la boîte pourrait être la meilleure option pour les utilisateurs concernés.
“Je pense que la seule façon d’atténuer ce problème est de maintenir les détaillants à un niveau plus élevé”, a déclaré Milisic à TechCrunch. Se référant aux vendeurs en ligne comme Amazon, “ils ne sont pas autorisés à vendre des jouets pour enfants fabriqués à partir de lames de rasoir en rotation, pourquoi est-il acceptable de laisser de petits vendeurs inconnus vendre des ordinateurs agissant de manière malveillante à l’insu et sans la permission des propriétaires ?”
Lorsqu’il a été contacté par TechCrunch, le porte-parole d’Amazon, Adam Montgomery, a refusé de dire si Amazon examinait la sécurité des appareils qu’il vend ou s’il prévoyait de retirer de la vente les appareils contenant des logiciels malveillants en question.
AllWinner et RockChip n’ont pas renvoyé de demandes de commentaires.
Il y a eu une poussée ces dernières années pour améliorer les normes de sécurité matérielle. L’administration Biden a déclaré qu’elle prévoyait de déployer un système d’étiquetage pour les appareils connectés à Internet cette année dans le cadre des efforts visant à encourager les fabricants d’appareils à améliorer la sécurité de leurs appareils, par exemple en ajoutant des mécanismes de mise à jour pour corriger les failles de sécurité. En 2018, la Californie a adopté une loi qui interdit aux appareils connectés à Internet d’utiliser des mots de passe par défaut et faciles à deviner, que les mauvais acteurs utilisent souvent pour pirater des appareils et les piéger dans un botnet.
Au moment de la rédaction de cet article, les modèles AllWinner et RockChip concernés sont toujours disponibles à la vente sur Amazon.
rewrite this content and keep HTML tags
AllWinner et RockChip ne sont peut-être pas des noms familiers, mais les deux sociétés basées en Chine alimentent plusieurs boîtiers de télévision Android très populaires vendus sur Amazon.
Ces décodeurs de télévision alimentés par Android sont généralement bon marché et hautement personnalisables, regroupant plusieurs services de streaming dans un seul appareil, plutôt que d’acheter du matériel séparé. Leurs listes sur Amazon affichent une note de quatre étoiles sur cinq et ont collectivement accumulé des milliers de critiques élogieuses.
Mais les chercheurs en sécurité affirment que les modèles sont vendus préchargés avec des logiciels malveillants capables de lancer des cyberattaques coordonnées.
L’année dernière, Daniel Milisic a acheté un décodeur AllWinner T95 et a découvert que le micrologiciel de la puce était infecté par un logiciel malveillant. Milisic a découvert que le décodeur alimenté par Android communiquait avec les serveurs de commande et de contrôle et attendait des instructions sur la marche à suivre. Son enquête en cours, qu’il a publiée sur GitHub, a révélé que son modèle T95 était prêt à l’emploi et se connectait à un plus grand botnet de milliers d’autres boîtiers Android TV infectés par des logiciels malveillants dans les maisons et les bureaux du monde entier.
Milisic a déclaré que la charge utile par défaut du malware est un clickbot, essentiellement un code qui génère de l’argent publicitaire en tapant subrepticement sur des publicités en arrière-plan. Une fois les boîtiers Android TV concernés mis sous tension, le logiciel malveillant préchargé contacte immédiatement un serveur de commande et de contrôle, obtient ses instructions pour savoir où trouver le logiciel malveillant dont il a besoin et envoie des charges utiles supplémentaires à l’appareil qui effectue la fraude au clic publicitaire.
“Mais en raison de la façon dont le malware est conçu, les auteurs peuvent envoyer n’importe quelle charge utile”, a déclaré Milisic à TechCrunch.
Le chercheur en sécurité de l’EFF, Bill Budington, a confirmé de manière indépendante les conclusions de Milisic après avoir également acheté un appareil concerné à Amazon. Plusieurs autres modèles de téléviseurs Android AllWinner et RockChip sont également préchargés avec le logiciel malveillant, notamment AllWinner T95Max, RockChip X12 Plus et RockChip X88 Pro 10.
Une capture d’écran du AllWinner T95 répertorié sur Amazon. Crédits image : TechCrunch (capture d’écran)
Les botnets sont généralement constitués de centaines, voire de milliers ou de millions d’appareils compromis dans le monde. Les opérateurs derrière le botnet peuvent utiliser ce vaste réseau malveillant pour extraire la crypto-monnaie sur un appareil affecté, voler des données (le cas échéant) de l’appareil ou du réseau auquel il est connecté ou exploiter la bande passante Internet collective de ces appareils pour frapper d’autres sites Web et serveurs Internet. avec du trafic indésirable, connu sous le nom d’attaque par déni de service distribué, les mettant hors ligne.
Milisic a demandé à la société Internet hébergeant les serveurs de commande et de contrôle qui ont donné des instructions au botnet plus large pour mettre ces serveurs hors ligne, et les serveurs hébergeant le malware ad-click ont disparu peu de temps après. Il a cependant averti que le botnet pourrait revenir à tout moment avec une nouvelle infrastructure.
La taille du botnet n’est pas claire. “Il est difficile de quantifier l’ampleur de ce réseau”, a déclaré Budington à TechCrunch. « Ce que nous savons, c’est que partout où nous regardons, il existe différentes variantes de logiciels malveillants de type cheval de Troie Android téléchargeant des logiciels malveillants de niveau supérieur à partir du même ensemble d’adresses IP, ceux qui ont été impliqués dans des attaques de la chaîne d’approvisionnement dans le passé. C’est une opération impressionnante et troublante.
Milisic et Budington notent qu’il n’y a pas de moyen facile de supprimer le logiciel malveillant pour l’utilisateur moyen. Jeter complètement la boîte pourrait être la meilleure option pour les utilisateurs concernés.
“Je pense que la seule façon d’atténuer ce problème est de maintenir les détaillants à un niveau plus élevé”, a déclaré Milisic à TechCrunch. Se référant aux vendeurs en ligne comme Amazon, “ils ne sont pas autorisés à vendre des jouets pour enfants fabriqués à partir de lames de rasoir en rotation, pourquoi est-il acceptable de laisser de petits vendeurs inconnus vendre des ordinateurs agissant de manière malveillante à l’insu et sans la permission des propriétaires ?”
Lorsqu’il a été contacté par TechCrunch, le porte-parole d’Amazon, Adam Montgomery, a refusé de dire si Amazon examinait la sécurité des appareils qu’il vend ou s’il prévoyait de retirer de la vente les appareils contenant des logiciels malveillants en question.
AllWinner et RockChip n’ont pas renvoyé de demandes de commentaires.
Il y a eu une poussée ces dernières années pour améliorer les normes de sécurité matérielle. L’administration Biden a déclaré qu’elle prévoyait de déployer un système d’étiquetage pour les appareils connectés à Internet cette année dans le cadre des efforts visant à encourager les fabricants d’appareils à améliorer la sécurité de leurs appareils, par exemple en ajoutant des mécanismes de mise à jour pour corriger les failles de sécurité. En 2018, la Californie a adopté une loi qui interdit aux appareils connectés à Internet d’utiliser des mots de passe par défaut et faciles à deviner, que les mauvais acteurs utilisent souvent pour pirater des appareils et les piéger dans un botnet.
Au moment de la rédaction de cet article, les modèles AllWinner et RockChip concernés sont toujours disponibles à la vente sur Amazon.
