Malware: Android-TV-Box mit vorinstallierter Schadsoftware gekauft

Nach dem Kauf einer Android-TV-Box auf Amazon entdeckte der Sicherheitsforscher Daniel Milisic aus Kanada eine vorinstallierte Malware. Das betroffene Gerät T95 Android-TV-Box mit einem Allwinner T616 SoC ist auch in Deutschland auf Amazon.de erhältlich. Zudem kann es über Aliexpress oder andere E-Commerce-Plattformen erstanden werden.

Es ist jedoch unklar, ob nur das Gerät von Milisic oder einige oder alle Geräte eine in der Firmware integrierte Schadsoftware enthalten. Der Sicherheitsforscher hat ein Skript erstellt, mit dem sich der Payload deaktivieren und die Kommunikation mit dessen Command-and-Control-Server unterbinden lässt. Das Skript stellt der Sicherheitsforscher auf Github zur Verfügung.

Entdeckt hatte Milisic die Malware über die Software Pi-Hole, ein Werbe- und Tracking-Blocker auf DNS-Ebene (DNS-Sinkhole), den er auf dem Gerät installieren wollte. Dort sah er, dass die Android-TV-Box eine Verbindung zu mehreren IP-Adressen aufbauen wollte, die mit Malware in Verbindung gebracht werden.

Malware tief in das System integriert

Daraufhin begann er mit der Analyse des Gerätes und fand etliche Komponenten der Malware, die tcpflow und nethogs zur Überwachung des Netzwerkverkehrs nutzte. "Den letzten Teil der Malware, den ich nicht ausfindig machen konnte, injiziert den 'system_server'-Prozess und scheint tief in das ROM eingebettet zu sein", erklärte Milisic.

Der Sicherheitsforscher vermutet, dass es sich bei der vorinstallierten Malware um Copycat handelt, eine Android-Schadsoftware, die 2017 von der Sicherheitsfirma Checkpoint entdeckt (PDF) wurde. Die Malware war Teil einer Adware-Kampagne, die 14 Millionen Android-Geräte infizierte und ihren Betreibern run 1,5 Millionen US-Dollar eingebracht haben soll.