Si les box TV Android offrent de nombreux avantages, ces gadgets peuvent également réserver quelques mauvaises surprises, comme des malwares. C’est justement le cas de ces box largement disponibles sur plusieurs des plus grandes plateformes de e-commerce : Amazon et AliExpress…
Un malware pré-installé sur la box TV Android T95
Ce malware a été découvert un peu par hasard par un chercheur consultant canadien en cybersécurité. Il s’est procuré une box TV Android, celle de la gamme T95 pour tester Pi-Hole, un logiciel de blocage de publicité et de suivi Internet.
La box T95 est un appareil de streaming tournant sous Android, ouvert sur Ethernet et WiFi. Pi-Hole pour sa part est un serveur DNS qui bloque l’affichage des publicités sur les appareils d’un réseau donné.
Daniel Milisic, le consultant en cybersécurité, découvre que l’appareil tentait de se connecter à plusieurs adresses IP associées à des logiciels malveillants actifs lors de l’analyse du DNS. Le chercheur a essayé de supprimer les malwares, avec succès, sauf pour un seul, ce dernier étant ancré dans un micrologiciel de stockage.
Le malware identifié comme étant CopyCat
Le chercheur a identifié le malware récalcitrant comme étant CopyCat. Il s’agit d’un logiciel malveillant Android sophistiqué découvert pour la première fois par Check Point (un fournisseur israélien de solution cybersécurité) en 2017.
Ce malware est considéré comme l’une des cyberattaques basées sur Android les plus importantes et les plus répandues. CopyCat pénètre dans un appareil Android via une source tierce (la box TV Android ici) ou via une source de phishing.
Une fois installé, le logiciel malveillant télécharge automatiquement une boîte à outils. Suite à quoi, le malware est capable de rooter l’appareil Android, obtenant ainsi un contrôle complet sur celui-ci.
Comment se débarrasser du malware sur la box T95 ?
Daniel Milisic a partagé les détails de cette découverte dans un rapport publié sur GitHub. L’analyste a également partagé des instructions pour aider les utilisateurs à annuler la charge utile. Les conseils montrent également comment arrêter sa communication avec le serveur C2 (commande et contrôle).
Les utilisateurs sont invités à effectuer une réinitialisation d’usine via les paramètres. Cela leur permettrait de nettoyer la box TV Android et de se débarrasser du malware. Il est également possible de redémarrer l’appareil en mode récupération.
Néanmoins, le moyen le plus sûr de se protéger des malwares reste encore d’arrêter d’utiliser cette gamme de box. Par ailleurs, c’est toujours plus prudent de se procurer des appareils directement auprès de fournisseurs de confiance comme Google Chromecast, Apple TV ou encore NVIDIA Shield.
- Partager l'article :