Trojan na Android TV

[Ronnie Basic]

Dobry den,
Predne bych chtel poprat vsem adminum a moderatorum dobre zdravi v techto podivnych casech.

Dnes ponekud nestandardni prispevek a rovnou se omlouvam, ze nemohu vlozit FRST log. Infikovane je totiz moje Android TV zarizeni, nikdy bych neveril, ze se to muze stat... Priznaky presne odpovidaji tomuto clanku, jde o bitcoin miner com.ufo.miner
https://news.sophos.com/en-us/2019/02/2 ... er-trojan/
Google Play Protection ho ihned hlasi (tvari se jako aplikace 'Test'), da se nastesti snadno odinstalovat. The pitfall: behem par min se nainstaluje sam znovu a nenasel jsem zpusob, jak tomu zabranit (vyzkousen real-time stit od Kasperski i Sophos).

Podle clanku by pomohlo zablokovat celou domenu conihive.com (prip. port 5555). Na Win 10 bych vedel, co delat, ale toto bude vyzadovat blokaci na HW firewallu. Pripojil jsem se tedy na svuj TP-Link Archer C6 a s hruzou zjistil, ze tento wifi router neumi blokaci domen .


-> Mam jinou moznost, nez napsat UPC, aby se pokusili domenu zablokvoat na FW oni jakozto ISP?


Dekuji vam predem (i za veskerou pomoc v minulosti).

[Conder]

Ahoj

Vies tuto aplikaciu najst aj zozname nainstalovanych aplikacii (v nastaveniach)? Ak ano, skus najprv vynutit zastavenie aplikacie (force stop) a nasledne ju odinstalovat.

Skusal si aj factory reset (obnova tovarenskych nastaveni) zariadenia?

[Ronnie Basic]

Ano, odinstalovat lze, normalne se zobrazuje jako aplikace 'Test' (how cunning). Issue je v tom, ze za 10-15 min se nainstaluje sama znovu . Nepodarilo se mi prijit na to, jak tomu zabranit, vyzkousel jsem ruzne firewall appky pro Android.

Factory reset vidim jako last resort. Napadlo by vas jeste neco, nez se k tomu uchylim? Dekuji.

[Conder]

Je zariadenie (Android TV) aktualizovane na poslednu dostupnu verziu OS Android? Akym sposobom je pripojene k internetu?

Dalej skus otestovat, ci sa aplikacia nainstaluje sama aj v pripade, ak pred odinstalaciou aplikacie zariadenie odpojis od internetu.

[Ronnie Basic]

1) Ano, v sekci System -> Settings jsem udelal check a rika to 'Your system is up to date'. Zarizeni je pripojeno pomoci ethernetu do wifi routeru TP Link Archer C6

2) Vyzkouseno, dobry napad. Frightening result : vir se znovu sam nainstaluje . To je prusvih, celou dobu jsem kalkuloval s tim, ze potrebuje interent. Firewally tedy byly k nicemu. Znamena to, ze uz se trojan zazral hluboko do Android OS & factory reset it is?

Dekuji

[JaRon]

zaujimava tema
skusal si ? https://www.eset.com/sk/internetova-och ... -security/

[Ronnie Basic]

Jeste ne. Zkousel jsem Sophos , Kasperski, z fw pak Netguard a AFwall+...

No harm in trying Esset. I will revert with feedback in due course.

[Ronnie Basic]

Tak primo Smart TV Security moje Google Play neumi, ale nainstaloval jsem Eset Mobile Security (neplacena verze, nevim, jestli umi real-time protection).

Same result . Vir je korektne identifkovan a lze ho odstranit, nelze ale predejit opetovnemu zavirovani Android OS.
See screenshot : https://imgur.com/zrQEmPn

[JaRon]

mam dve otazky:
1. po odinstalovani sa virus opatovne vrati aj bez spustenia prehliadaca Chrome alebo s nim ?
2. mas nejaky pristup k suborom z obrazku Sophos napr. ufo.apk

[Ronnie Basic]

1) Ano. Vzdycky to testuji tak, ze e.g. nainstaluji novy antivir a restartuji Android TV. Po restartu cekam na home screen, na nic nesaham... po 10-15 min se vir vrati sam, aniz bych cokoliv delal (Chrome a veskere ostatni aplikace jsou killnute, na pozadi nebezi nic 'nesystemoveho')

2) Zkousel jsem ten *.apk soubor hledat v Android system folders, ale v Linuxu jsem malo kovany. Mozna jsem nehledal na spravnem miste, napada vas, ve ktere subfloder by mohl byt uhnizden?

Btw jeho obsah be mel byt toto. Jednoducha javascript utilitka, ktera se pripojuje na bitcoin mining server. Vyuziva to exploitu pro 'USB debugging' na android zarizenich (otevreny port 5555). Coz uz jsem preventivne vypnul primo v Android settings.
https://news.sophos.com/wp-content/uplo ... ript-1.png

[JaRon]

Mal by byt v /data/local/temp
Zial nemam Android TV, nemam to ako pozriet

[Ronnie Basic]

Mal by byt v /data/local/temp
Zial nemam Android TV, nemam to ako pozriet

Nainstaloval jsem TCMD pro Android, abych ziskal pristup k systemovemu fs. UFO miner jsem nalezl mezi applikacemi, no surprises there.
https://imgur.com/XDLb38G

Potom jsem prosel systemove slozky a podle timestamp, kdy jsem TV zapnul a pripojil k internetu, objevil 'touch' ve
etc / bus / usb
etc / usb
na nekolika souborech. Neumim se do nich ale podivat (Android TCMD nema 'klavesu F3'). Coz potvrzuje zname chovani toho viru (ze vyuziva jakehosi exploitu okolo USB portu).

Moc me nenapada, co dal. Vas ano?

[JaRon]

Ma ten TV aktualny firmware?
Pouzit TCMD bol dobry napad

[Ronnie Basic]

Ma ten TV aktualny firmware?
Pouzit TCMD bol dobry napad

Mhm... mirite spravnym smerem:
https://imgur.com/a/kph8Jea
Android i kernel z r. 2018? That doesn't look right. Ackoliv kdyz dam System Update (button uplne nahore), rekne to, ze system je aktualni. Toto uz me znepokojovalo driv.
Jak flashovat firmware takoveho zarizeni, se bojim si predstavovat

[Conder]

Moc som nepochopil, co je divne na tom datume s rokom 2018. To je len datum, kedy bola zostavena/skompilovana ta konkretna verzia OS Android pre dane zariadenie. Totizto aktualizacie Android OS musi pre kazde zariadenie vydat vyrobca zariadenia. Pri Android zariadeniach sa pritom casto stava, ze niektori vyrobcovia sa na podporu a vydavanie aktualizacii jednoducho vykaslu. To ma za nasledok, ze na zariadeniach bezia stare verzie s nezaplatovanymi dierami, ktore sa potom daju zneuzit. V tomto pripade

Malware sa teda nainstaluje sam aj pri vypnutom USB debuggingu (a odpojenom internete)? Je mozne pripojit zariadenie k PC cez USB kabel?