Connaissez-vous AllWinner et RockChip? Bien que ces entreprises chinoises ne soient pas des noms familiers, elles alimentent plusieurs boîtiers Android TV extrêmement populaires vendus sur Amazon. Mais savez-vous que des chercheurs en sécurité affirment que ces modèles sont vendus préchargés avec des logiciels malveillants capables de lancer des cyberattaques coordonnées?
Ces boîtiers de télévision Android sont généralement bon marché et hautement personnalisables, regroupant plusieurs services de streaming en un seul appareil, plutôt que d’acheter du matériel séparé. Leurs annonces sur Amazon ont des notes de quatre étoiles sur cinq et ont collectivement recueilli des milliers d’avis élogieux. Mais que se passe-t-il sous le capot de ces appareils ?
Des chercheurs en sécurité ont découvert que certains modèles de boîtiers Android TV vendus sur Amazon sont préchargés avec des logiciels malveillants.
L’année dernière, Daniel Milisic a acheté un boîtier AllWinner T95 et a découvert que le firmware de la puce était infecté par un logiciel malveillant. Milisic a constaté que le boîtier Android TV communiquait avec des serveurs de commande et de contrôle et attendait des instructions sur ce qu’il devait faire ensuite. Son enquête, qu’il a publiée sur GitHub, a révélé que son modèle T95 se connectait dès sa sortie de l’emballage à un botnet plus large de milliers d’autres boîtiers Android TV infectés par des logiciels malveillants dans des foyers et des bureaux du monde entier.
Milisic a déclaré que la charge utile par défaut du logiciel malveillant est un clickbot, essentiellement un code qui génère de l’argent publicitaire en cliquant secrètement sur des publicités en arrière-plan. Une fois que les boîtiers Android TV affectés sont allumés, le logiciel malveillant préchargé contacte immédiatement un serveur de commande et de contrôle, obtient des instructions sur l’endroit où trouver le logiciel malveillant dont il a besoin et tire des charges utiles supplémentaires sur l’appareil qui effectue la fraude au clic publicitaire.
Bill Budington, chercheur en sécurité à l’EFF, a confirmé indépendamment les conclusions de Milisic après avoir également acheté un appareil concerné sur Amazon. Plusieurs autres modèles de boîtiers Android TV AllWinner et RockChip sont également préchargés avec le logiciel malveillant, notamment les AllWinner T95Max, RockChip X12 Plus et RockChip X88 Pro 10.
Les botnets sont généralement composés de centaines, voire de milliers ou de millions d’appareils compromis dans le monde. Les opérateurs à l’origine du botnet peuvent utiliser ce vaste réseau malveillant pour extraire des cryptomonnaies sur un appareil affecté, voler des données (le cas échéant) de l’appareil ou du réseau auquel il est connecté, ou exploiter la bande passante Internet collective de ces appareils pour bombarder d’autres sites Web et serveurs Internet de trafic indésirable, également appelé attaque par déni de service distribué, les mettant ainsi hors ligne.
Milisic et Budington notent qu’il n’y a pas de moyen facile de supprimer le logiciel malveillant pour l’utilisateur moyen. Jeter la boîte pourrait être la meilleure option pour les utilisateurs concernés. Mais cela soulève une question importante : les détaillants en ligne comme Amazon devraient-ils être tenus à des normes de sécurité plus élevées pour les appareils qu’ils vendent ?
Source : Techcrunch