Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Koleżka kupił androidowy TV box (T95 AllWinner T616). A tam domyślnie działa sobie malwarek. Analiza.

13 stycznia 2023, 10:35 | Aktualności | komentarzy 28

Bohaterem są tanie urządzenia dostępne np. na Amazonie:

Badacz zakupił je najpewniej na standardowe potrzeby (tj. oglądanie TV ;) ale postanowił nieco przeanalizować zdobyty okaz:

This device’s ROM turned out to be very very sketchy — Android 10 is signed with test keys, and named „Walleye” after the Google Pixel 2. I noticed there was not much crapware to be found, on the surface anyway. If test keys weren’t enough of a bad omen, I found ADB wide open over Ethernet and WiFi – right out-of-the-box.

Wspomniany wyżej ADB to dla przypomnienia konsola debug Androida.

Jak przeanalizować czy na urządzeniu działa malware? Badacz zainstalował Pi-hole w wersji na Androida (więcej o tym rozwiązaniu w naszym poradniku) i skierował DNSy urządzenia na 127.0.0.1 (czyli tam gdzie działał Pi-hole). Efekt? Coż…:

 The box was reaching out to many known, active malware addresses.

Dalej za pomocą narzędzi nethogs oraz tcpflow (podobne do tcpdumpa – tylko zrzuca całe strumienie tcp do osobnych plików – bardzo wygodne w analizie) udało się namierzyć proces (i później .apk), który odpowiadał za komunikację malware.

Deinstalacja złośliwego apk pomogła… częściowo, bo został jeszcze zainfekowany proces system_server. Dokładniej, „coś” (podobnego do Copycat) wstrzykiwało do tego procesu swój złośliwy kod, który łączyć się z C2 (serwerem kontrolnym atakującego).

Badacz nie mogąc namierzyć istoty tego ostatniego problemu namierzył tylko adresy C2 (ycxrl[.]com, cbphe[.]com, cbpheback[.]com) i w swoim Pi-hole rozwiązywał je na 127.0.0.2 gdzie postawił swój webserwer. Komunikacja z C2 trafiała więc do niego:

1672673217|ycxrl[.]com|POST /terminal/client/eventinfo HTTP/1.1|404|0
1672673247|ycxrl[.]com|POST /terminal/client/eventinfo HTTP/1.1|404|0
1672673277|ycxrl[.]com|POST /terminal/client/eventinfo HTTP/1.1|404|0
1672673307|ycxrl[.]com|POST /terminal/client/eventinfo HTTP/1.1|404|0

Ciężko stwierdzić czy podatne było to jedno konkretne urządzenie, czy zainfekowane są wszystkie / większość.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. seb

    głupie pytanie – bo nie znam się – co taki malware z tv boxa może przesłać do swojego autora? haslo do mojego wifi? coś więcej? czy to jest poważne zagrożenie czy z gatunku takich historii dla nerdów?

    Odpowiedz
    • Michał

      Pomijając to, że siedzi sobie w Twoim LAN-ie i może służyć jako przesiadka do ataków na inne urządzenia? Może ukraść Twoje hasło do Netflixa. Skoro to Android, to pewno ma dostęp do twojego Gmaila. Nie wiem czy ma mikrofon i asystenta Google, jeżeli tak, to może sobie posłuchać…

      Odpowiedz
      • ŁośSuperktoś

        To, że to jest android nie oznacza z automatu, że musi mieć dostęp do twojego konta, dopóki się na nie nie zalogujesz… Ja na takie szemrane gadżety androidowe mam osobne konto google tylko do tego…

        Odpowiedz
        • M2

          Ja też do jazdy po mieście mam matiza, a na niedzielę urzęduję w Mercu.

          Odpowiedz
          • Imię *

            Porównanie bez sensu. Konto Google’a jest darmowe, samochód nie.

          • do Imię

            konto jest darmowe? więc już nie trzeba kupić i aktywować kartę sim by założyć gmail na androidzie?

    • SOKÓŁ

      Może ci zainfekować całą domową sieć, albo np. wysłać dzielone w twojej wenwętrznej sieci pliki do kogoś np. kto sprzedał tego zainfekowanego boxa. Np. może wysłać twoje rodzinne fotki z plaży naturystów jeśli dzielisz je np. między członkami rodziny w swojej sieci. To taki przykład.

      Odpowiedz
    • Wadera

      W skrócie: to tak jak by intruz przyszedł sobie z swoim urządzeniem do Twojego domu i dostał od Ciebie hasło do wifi. Teraz może robić wszystko na tym urządzeniu, nie tylko dodawać co oglądasz, ale jak na takim urządzeniu zalogujesz się dla wygody do YouTube – uzyskuje dostęp do Twojego konta Google (czyli poczta, pliki z dysku Google itd), a do tego może posługiwać wszystko co lata często niezabezpieczone w sieci lokalnej (np: można przechwycić komunikację z drukarka, wbić się do kamer monitoringu, zalogować się na router jeśli ktoś wciąż ma standardowe hasło admina) no i może z Twojego IP atakować innych (robić DDOSy, wysyłać SPAM, pobierać pornografię dziecięcą, czy włamywać się do polskich instalacji instytucji państwowych, sprawiając że smutni panowie zamiast pukać do jego drzwi – zapukają do Twoich)

      Odpowiedz
      • Wadera

        Jak ja lubię pisać wiadomości z telefonu i wysłać bez czytania, by później zobaczyć, że słownik zastąpił mi połowę słów innymi

        Odpowiedz
        • Tabu

          Wszyscy to mamy, mnie też szlag trafia.

          Odpowiedz
        • Imię *

          Ja bym wyłączył słownik…

          Odpowiedz
        • X

          Wystarczy czytać przed wysłaniem.

          Odpowiedz
    • Tomek

      Do wielu aplikacji ludzie logują się konkretnymi danymi. Zawsze można przejąć jakieś konto Google czy też co innego. Wielu ten sam login i hasło może wykorzystać w wielu serwisach, np związanych z finansami itd. Zawsze to jakaś furtka, dodatkowe dane dla ziomkòw w czarnym kapturze.

      Odpowiedz
    • Chris

      Może wysyłać spam, albo wręcz maile za które grozi paragraf z Twojego IP. Tłumacz się potem.

      Odpowiedz
    • Erica

      Może nawet wysłać SMS z routera, jeśli masz domyślne hasło albo niezabezpieczony dostęp do SMS w routerze. I to może być SPAM, którego nie zobaczysz na rachunku, albo SMS Premium (można zablokować), który zobaczysz na rachunku. W najgorszym razie operator wykryje podejrzany ruch (w przypadku SPAM) i zablokuje terminal. Potem się tłumacz.

      Odpowiedz
    • Piotr

      Może np. działać w twojej sieci domowej jako sniffer. Śledzić w niech ruch, przechwytywać hasła. Wystarczy?

      Odpowiedz
    • Tomek

      Taki malware w domowej sieci nie zrobi nic z tego co sobie wyobrażasz bo możesz się przed tym zabezpieczyć. Zrobi za to coś, czego sobie akurat nie wyobraziłeś, a dzięki twojej historii będzie kolejny ciekawy artykuł na Sekuraku,

      Odpowiedz
  2. Maciej

    Urządzenie łaczy sie do jakiegoś bliżej niesprecyzowanego „malware addresses”. Tylko jaki jest tego efekt? Czy wiadomo, co te „złośliwe oprogramowanie” robi złośliwego?

    Odpowiedz
    • SOKÓŁ

      No łączy się pewnie żeby ściągnąć robaki, które robią różne rzeczy na tym urządzeniu. Np. kradną współdzielone pliki itp.

      Odpowiedz
  3. Piotr

    Czy ustawienia fabryczne coś pomogą w tej sytuacji ?

    Odpowiedz
  4. SOKÓŁ

    Nie wiem. Co jeśli teraz te ustawienia są fabryczne?

    Odpowiedz
  5. Jenot

    No to moja krótka historia: moja sieć to terminal światłowodowy-OPNsense-vlany (serwer, AP, Ethernet). Na serwerze jest m.in. poczta. Po skonfigurowaniu wszystkiego jak należy sprawdziłem reputację mojej domeny i się okazało, że wiszę prawie we wszystkich możliwych RBLach. Audyt serwera, AP, wszystkich urządzeń nic nie dał, ale OK, pewnie jestem cienki jak d… węża w security i dlatego nic nie znalazłem. W akcie desperacji sprawdziłem jeszcze na stronie Cisco reputację innych IP z mojej klasy (czyli innych klientów mojego dostawcy) i się okazało, że kilkadziesiąt adresów IP z mojego „sąsiedztwa” generuje spory procent globalnego spamu. Podejrzenie padło na terminal brzegowy. Jakiś tani „śmieć” Huawei z Aliexpressu. Brak aktualizacji firmware, brak wsparcia poza Chinami.

    Odpowiedz
    • Ze jak?

      Czyli… Nic nie wiesz i security, ale, że urządzenie brzegowe dostawcy neta to „tani śmieć Huawei (jaki i marka) z AliExpress (skąd i że bez updateow)” to już wyczailes? xD

      Wyczuwam „Rebecca’ bullshit”. Lepszy belby stary MacBook, co nie?

      Odpowiedz
  6. Użytkownik
    Odpowiedz
  7. Maciej

    Co taki zainfekowany box może zrobić? Wyobraź sobie, że zestawi sobie połączenie ssh do „swojego pana” a w takim połączeniu tunelować można każdy inny protokół.

    Odpowiedz
  8. Strach coś kupować.

    Odpowiedz
  9. Luks

    Fajny artykuł, ale może coś więcej na ten temat napisać, jak się tego pozbyć, czy przywrócenie ustawień fabrycznych to usuwa, ewentualnie czy jakiekolwiek oprogramowanie AV na tym boxie to wykrywa i usuwa?

    Odpowiedz
  10. Kupiłem google chromecast – tam jak podłączone jest konto niepowiązane z moim, to na moim nawet wyświetlają się podobne reklamy z wyszukani na chromecast. To także jakoś bierze pewnie sieci podobne i już personalizuje nawet jak nie ma powiązań bo za wspólną siecią. Pewnie swoją drogą może ten nasłuchiwać nawet bez klawisza mikrofonu.

    Odpowiedz

Odpowiedz