16/12/2024

Actu CybersécuritéMatériel

Disponible sur Amazon, cette box Android TV est livrée avec un malware préinstallé !

Une box sous Android TV et commercialisée sur Amazon est livrée avec un logiciel malveillant préinstallé et persistant puisqu'il est intégré au firmware !

Depuis quelques années, les box Android sont devenues très populaires, car elles permettent de bénéficier de diverses applications de streaming vidéos (Netflix, Amazon Prime Video, MyCanal, Dinsey+, etc...) à partir d'une interface agréable basée sur Android TV.

La mauvaise nouvelle, c'est qu'il existe un modèle relativement populaire qui est livré avec un logiciel malveillant ! Pour être précis, il s'agit du modèle "Android TV Box T95" équipé d'un processeur AllWinner. Cette box est commercialisée partout dans le monde via Amazon, AliExpress et d'autres sites d'e-commerce. Par exemple, elle est disponible sur amazon.fr à 50 euros environ, comme vous pourrez le constater en suivant ce lien.

Même si c'est le seul modèle malveillant identifié, il est possible qu'il y ait d'autres modèles dans le même cas : s'ils proviennent de la même marque ou s'ils partagent le même firmware.

Box Android TV malware 2023

Il pourrait s'agir du malware CopyCat

En tout cas, il faut remercier Daniel Milisic, un administrateur système canadien pour cette découverte ! Il a également décidé de régler le problème en créant un script et en mettant en ligne des instructions pour aider les utilisateurs à bloquer le malware et à stopper ses communications vers le serveur C2.

Par défaut, cette box Android accepte les connexions en Ethernet et WiFi via l'Android Debug Bridge (ADB), ce qui est une configuration suspecte. Grâce à cet accès, il est possible de manipuler les fichiers à distance, d'exécuter des commandes, d'installer des logiciels et de contrôler la box à distance. Rien que ça.

Initialement, Daniel Milisic a acheté cette box Android TV pour faire tourner l'outil Pi-Hole afin de bloquer la publicité, le contenu malveillant, etc... Et, au moment d'analyser les requêtes dans Pi-Hole, il a constaté que la box Android TV émettait des requêtes vers des adresses IP associées à un malware. D'ailleurs, il pense même que le malware en question est CopyCat, bien connu et qui a déjà affecté 14 millions d'appareils Android lors d'une précédente campagne.

Sur Internet, il suffit de regarder sur Amazon et AliExpress pour voir qu'il y a de nombreux modèles de box Android TV en provenance de marques méconnues. Comme le prix est attractif, de nombreux utilisateurs se laissent tenter et le malware présent dans la box T95 n'est peut-être pas un cas isolé... Pour le coup, il est préférable de se tourner vers une Google Chromecast, Apple TV, Amazon Fire TV, Xiaomi Mi TV Box ou encore une box DIY basée sur un Raspberry Pi !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.