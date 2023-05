I ricercatori di Sophos hanno scoperto malware nascosti in ROM modificate di alcuni smartphone. Altri esperti di sicurezza hanno trovato malware anche in popolari box Android TV venduti su Amazon. I dispositivi hanno ricevuto molte recensioni positive, forse fasulle o scritte da utenti che non hanno notato nulla di strano.

Attenzione ai box Android TV cinesi

Questi set-top box sono molto economici e piuttosto configurabili, essendo basati su Android. Il ricercatore Daniel Milisic aveva scoperto un malware nel firmware del modello AllWinner T95 (venduto anche con altri nomi) che comunica con un server C&C (command and control) per ricevere comandi.

Dall’analisi dettagliata del firmware e del traffico in uscita, il ricercatore ha scoperto che il box era connesso ad una grande botnet composta da migliaia di dispositivi Android TV. Il payload del malware è un clickbot, ovvero codice che genera guadagni attraverso la simulazione di click su inserzioni pubblicitarie eseguite in background.

La scoperta è stata confermata da Bill Budington della EFF (Electronic Frontier Foundation). Il malware è stato trovato anche su altri modelli: AllWinner T95Max, RockChip X12 Plus e RockChip X88 Pro 10. I cybercriminali possono accedere da remoto ai dispositivi e installare qualsiasi infezione o rubare i dati attraverso la rete locale dell’ignara vittima.

Milisic ha contattato i provider che ospitano i server per interrompere la connessione, ma la botnet potrebbe ritornare in futuro. Dato che la rimozione del malware non è alla portata di tutti, il ricercatore suggerisce di buttare il box nella spazzatura. Amazon dovrebbe inoltre evitare la vendita di questi dispositivi.

