Disponible sur Amazon, cette box Android TV est livrée avec un malware préinstallé !
Une box sous Android TV et commercialisée sur Amazon est livrée avec un logiciel malveillant préinstallé et persistant puisqu'il est intégré au firmware !
Depuis quelques années, les box Android sont devenues très populaires, car elles permettent de bénéficier de diverses applications de streaming vidéos (Netflix, Amazon Prime Video, MyCanal, Dinsey+, etc...) à partir d'une interface agréable basée sur Android TV.
La mauvaise nouvelle, c'est qu'il existe un modèle relativement populaire qui est livré avec un logiciel malveillant ! Pour être précis, il s'agit du modèle "Android TV Box T95" équipé d'un processeur AllWinner. Cette box est commercialisée partout dans le monde via Amazon, AliExpress et d'autres sites d'e-commerce. Par exemple, elle est disponible sur amazon.fr à 50 euros environ, comme vous pourrez le constater en suivant ce lien.
Même si c'est le seul modèle malveillant identifié, il est possible qu'il y ait d'autres modèles dans le même cas : s'ils proviennent de la même marque ou s'ils partagent le même firmware.
Il pourrait s'agir du malware CopyCat
En tout cas, il faut remercier Daniel Milisic, un administrateur système canadien pour cette découverte ! Il a également décidé de régler le problème en créant un script et en mettant en ligne des instructions pour aider les utilisateurs à bloquer le malware et à stopper ses communications vers le serveur C2.
Par défaut, cette box Android accepte les connexions en Ethernet et WiFi via l'Android Debug Bridge (ADB), ce qui est une configuration suspecte. Grâce à cet accès, il est possible de manipuler les fichiers à distance, d'exécuter des commandes, d'installer des logiciels et de contrôler la box à distance. Rien que ça.
Initialement, Daniel Milisic a acheté cette box Android TV pour faire tourner l'outil Pi-Hole afin de bloquer la publicité, le contenu malveillant, etc... Et, au moment d'analyser les requêtes dans Pi-Hole, il a constaté que la box Android TV émettait des requêtes vers des adresses IP associées à un malware. D'ailleurs, il pense même que le malware en question est CopyCat, bien connu et qui a déjà affecté 14 millions d'appareils Android lors d'une précédente campagne.
Sur Internet, il suffit de regarder sur Amazon et AliExpress pour voir qu'il y a de nombreux modèles de box Android TV en provenance de marques méconnues. Comme le prix est attractif, de nombreux utilisateurs se laissent tenter et le malware présent dans la box T95 n'est peut-être pas un cas isolé... Pour le coup, il est préférable de se tourner vers une Google Chromecast, Apple TV, Amazon Fire TV, Xiaomi Mi TV Box ou encore une box DIY basée sur un Raspberry Pi !
