AmazonやAliExpressでも販売されているAndroid TV搭載のセットトップボックス「T95」にマルウェアがプリインストールされていたという報告がGitHubに上げられています。マルウェアの正体は、Android端末を対象に感染を広げた「CopyCat」に似ているとのことです。
報告ページを作成したDesktopECHO氏は自身で開発したAndroid向けツールのPi-holeをテストするためにT95を購入したとのこと。しかし、このT95の中身が非常に大雑把なものであることがわかったそうです。Android 10はテストキーで署名されており、Google Pixel 2にちなんで「Wallye」と名付けられていたとのこと。さらにデバイスと通信するための多用途コマンドラインツールであるAndroid Debug BridgeがイーサネットとWi-Fi経由で広く開かれていることが判明。
そこで、実際にT95にPi-holeをインストールし、DNSを127.0.0.1に設定したところ、T95がアクティブなマルウェア用アドレスにアクセスしていたことが判明したそうです。
結果としてDesktopECHO氏は、T95内のマルウェアがやり取りしているC2サーバーのDNSを127.0.0.2に変更することで、マルウェアのアクティビティを監視しながらほぼ無力化することができたそうです。
中国製のAndroidタブレットやスマホを買いたくないのはこういうところなんだよな。
ファームウェアの時点でマルウェア仕込まれてたら一般ユーザーにはどうしようもできないし、工場出荷状態では問題なくてもファームウェアアップデートでマルウェア仕込まれる可能性もあるという。
スマホやタブレットは決済手段や個人情報と強く関連付けられるデバイスなので、少しでも不安のあるものは避けた方が無難である。