Wer glaubt, beim Kauf einer Android-TV-Box sparen zu können, holt sich unter Umständen eine Malware ins Haus. Woher die kommt, weiß keiner.
Ein Sicherheitsexperte entdeckte an seiner bei Amazon erworbenen T95 Android-TV-Box eine auffällige Grundkonfiguration. Tatsächlich schien dort eine Malware vorinstalliert gewesen zu sein, die bei der Inbetriebnahme zusätzliche Nutzdaten abrufen wollte. Doch durch ein eigens geschriebenes Skript machte der Entdecker der Schadsoftware den Garaus.
TV-Box mit Android 10 kommt mit Malware ab Werk
So manch ein Anwender fühlt sich womöglich ziemlich gut geschützt vor Schadsoftware aller Art, wenn er immer brav seine Updates installiert und sich von unseriösen Webseiten fernhält.
Dass das jedoch nicht immer ausreicht, zeigt ein aktuelles Beispiel, bei dem Amazon eine Android-TV-Box mit vorinstallierter Malware auslieferte, die auch bei AliExpress und anderen großen E-Commerce-Plattformen erhältlich ist.
Wie BleepingComputer berichtet, entdeckte Daniel Milisic, ein Berater für Systemsicherheit, in einer mit Version 10 von Googles Betriebssystem ausgestatteten T95 Android-TV-Box die besagte Schadsoftware. Unklar sei jedoch noch, ob der Vorfall nur das eine Gerät oder gleich eine ganze Modellreihe betrifft.
Schon die Grundkonfiguration der T95 Android-TV-Box war verdächtig
Wie Milisic feststellte, war die Android Debug Bridge (ADB) der untersuchten Box ab Werk über Ethernet und WiFi geöffnet. Das erschien ihm ziemlich ungewöhnlich, da sich so von außen eine Verbindung mit uneingeschränktem Zugriff auf das System aufbauen ließ.
Eine Analyse des Netzwerkverkehrs zeigte anschließend, dass die Android-TV-Box offenbar mit mehreren IP-Adressen zu kommunizieren versuchte, die mit aktiver Malware in Verbindung stehen. Sie rief mitunter zusätzliche Nutzdaten von „ycxrl.com„, „cbphe.com“ und „cbpheback.com“ ab.
In ihrem Verhalten ähnelt die Schadsoftware laut Milisic der erstmals in 2017 von Check Point entdeckten Android-Malware „CopyCat„. Diese brachte ihren Schöpfern durch Millionen von Infektionen im Rahmen einer Adware-Kampagne damals mehr als 1,5 Millionen Dollar ein.
Ein Skript soll die Malware unschädlich machen
Da es sich generell als schwierig erweisen dürfte, für eine solche Android-TV-Box ein sauberes Betriebssystem zu finden, hat sich der Sicherheitsexperte dazu entschlossen, Anwendern ein Skript und eine Anleitung bereitzustellen, um bestehende Geräte zu bereinigen und die Kommunikationsversuche der Malware zu unterbinden.
Benutzer sollen ihre Box dafür einfach im Wiederherstellungsmodus starten und dort einen „Factory Reset“ durchführen. Nach einem Neustart kann sich der Anwender schließlich mit der ADB verbinden und das vorbereitete Skript ausführen. Wenn die Bereinigung erfolgreich war, sollte der Befehl „adb logcat | grep Corejava“ zu einem Fehler führen.
An welcher Stelle in der Lieferkette die Malware genau auf das Gerät kam, bleibt vorerst fraglich. Von der Herstellung der in China produzierten Android-TV-Boxen bis zum Einsatz beim Konsumenten geraten viele Menschen damit in Kontakt. Somit ergeben sich mehrere mögliche Angriffspunkte, die sich insbesondere im Hinblick auf den Preispunkt der Ware kaum effektiv kontrollieren lassen.
