Créditos de la imagen: TechCrunch
AllWinner y RockChip pueden no ser nombres familiares, pero las dos compañías con sede en China impulsan varias cajas de TV Android muy populares que se venden en Amazon.
Estos decodificadores de Android TV a menudo son económicos y altamente personalizables, y combinan múltiples servicios de transmisión en un solo dispositivo en lugar de comprar hardware por separado. Sus listados de Amazon cuentan con calificaciones de cuatro de cinco estrellas y colectivamente han acumulado miles de críticas favorables.
Pero los investigadores de seguridad dicen que los modelos se venden precargados con malware capaz de lanzar ataques cibernéticos coordinados.
El año pasado, Daniel Milisic compró un decodificador AllWinner T95 y descubrió que el firmware del chip estaba infectado con malware. militar encontró que el decodificador con Android se comunicaba con los servidores de comando y control y esperaba instrucciones sobre qué hacer a continuación. Su investigación en curso, que lo publicó en GitHubdescubrió que su modelo T95 estaba listo para funcionar, conectándose a una botnet más grande de miles de otras cajas de Android TV infectadas con malware en hogares y oficinas de todo el mundo.
Milisic dijo que la carga útil predeterminada del malware es un clickbot, esencialmente un código que genera dinero publicitario al tocar subrepticiamente los anuncios de fondo. Una vez que se encienden las cajas de Android TV afectadas, el malware precargado se comunica de inmediato con un servidor de comando y control, obtiene sus instrucciones sobre dónde encontrar el malware que necesita y extrae cargas útiles adicionales para el dispositivo que realiza el fraude de clics en anuncios.
«Pero debido a la forma en que está diseñado el malware, los autores pueden enviar cualquier carga útil que deseen», dijo Milisic a TechCrunch.
Bill Budington, investigador de seguridad de la EFF confirmado de forma independiente Los hallazgos de Milisic después de comprar un dispositivo afectado de Amazon. Varios otros modelos de AllWinner y RockChip Android TV también están precargados con el malware, incluidos AllWinner T95Max, RockChip X12 Plus y RockChip X88 Pro 10.
![](data:image/svg+xml;charset=utf-8,<svg height="597" width="1024" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Una captura de pantalla del AllWinner T95 listado en Amazon. Créditos de la imagen: TechCrunch (captura de pantalla)
Las botnets a menudo se componen de cientos, si no miles o millones, de dispositivos comprometidos en todo el mundo. Los operadores detrás de la botnet pueden usar esta vasta red maliciosa para extraer criptomonedas en un dispositivo afectado, robar datos (si los hay) del dispositivo o de la red a la que está conectado, o aprovechar el ancho de banda colectivo de Internet de esos dispositivos para atacar otros sitios web. y servidores de Internet con tráfico no deseado, conocido como ataque de denegación de servicio distribuido, desconectándolos.
Milisic le pidió a la compañía de Internet que alojaba los servidores de comando y control que distribuían instrucciones a la botnet más amplia que desconectara esos servidores, y los servidores que alojaban el malware de clic en anuncios desaparecieron poco después. Advirtió, sin embargo, que la botnet podría volver en cualquier momento con nueva infraestructura.
El tamaño de la botnet no está claro. «Es difícil cuantificar la escala de esta red», dijo Budington a TechCrunch. “Lo que sí sabemos es que dondequiera que miremos hay diferentes variantes de malware troyano para Android que descargan malware de próxima etapa desde el mismo conjunto de IP, que han estado involucrados en ataques a la cadena de suministro en el pasado. Es una operación impresionante e inquietante”.
Milisic y Budington señalan que no existe una forma sencilla de eliminar el malware para el usuario medio. Tirar la caja puede ser la mejor opción para los usuarios afectados.
“Creo que la única forma de mitigar este problema es hacer que los minoristas cumplan con un estándar más alto”, dijo Milisic a TechCrunch. Refiriéndose a vendedores en línea como Amazon, “no se les permite vender juguetes para niños hechos con cuchillas de afeitar giratorias.
Cuando fue contactado por TechCrunch, el portavoz de Amazon, Adam Montgomery, se negó a decir si Amazon revisa la seguridad de los dispositivos que vende o planea retirar de la venta los dispositivos que contienen malware en cuestión.
AllWinner y RockChip no respondieron las solicitudes de comentarios.
Ha habido un esfuerzo en los últimos años para mejorar los estándares de seguridad del hardware. La administración de Biden ha dicho que planea implementar un sistema de etiquetado para dispositivos conectados a Internet este año como parte de los esfuerzos para alentar a los fabricantes de dispositivos a mejorar la seguridad de sus dispositivos, como agregar mecanismos de actualización para corregir fallas de seguridad. En 2018, California aprobó una ley que prohíbe que los dispositivos conectados a Internet usen contraseñas predeterminadas y fáciles de adivinar, que los delincuentes suelen usar para piratear dispositivos y atraparlos en una botnet.
Al momento de escribir este artículo, los modelos AllWinner y RockChip afectados todavía están disponibles para la venta en Amazon.
