Вредоносное ПО на умном телевизоре?

комментарий опубликован на сайте Reddit Пользователь «moeburn» упомянул возможность появления нового вредоносного программного обеспечения, предназначенного для умных телевизоров:

Моя сестра получила вирус на своем телевизоре. ВИРУС НА ЕГО GODDAMN ТВ.
Это был LG Smart TV со встроенным веб-браузером, и ему удалось получить DNS Hijacker с надписью «Любой, кто ищет деньги, чтобы разместить его на TV.iff».

Этот пост содержал следующую картинку:
Этот пост содержал следующую картинку:

Мы немедленно приступили к работе, пытаясь определить, была ли угроза особенно затронута телевизорами, подключенными к Интернету, или, скорее, это была случайная инфекция. Попытка подключиться к веб-сайту, указанному в URL-адресе на изображении, не удалась - доменное имя не было преобразовано в IP-адрес.

Мы использовали нашу любимую поисковую систему и получили много просмотров в поисках этого домена. В дополнение к хосту « ciet8jk » ( malwaredomain ) .com) этому доменному имени было назначено 27 других хостов, указывающих тот же IP-адрес.

Домен *** - browser-alert-error.com был зарегистрирован 17 августа 2015 года.

Через два дня был назначен следующий IP-адрес:

Через два дня был назначен следующий IP-адрес:

Похоже, что это мошенничество было в сети всего несколько дней, поэтому мы уверены, что телевизионной картине уже не менее четырех месяцев.

Подобные атаки не новы, поэтому мы начали искать сервер, который в данный момент подключен к сети, чтобы точно узнать, что пытается сделать сайт.

К сожалению, нам не удалось найти активный сайт из этого источника, но в поисках предупреждающего сообщения, показанного на картинке, мы обнаружили похожие домены, используемые для той же мошенничества.

Несколько примеров:

*** sweeps-ipadair-winner2.com

com

*** - browser-infection-call-now.com

Последний из перечисленных доменов все еще активен в сети, но ответа от сервера нет. Все упомянутые доменные имена были заблокированы Kaspersky Web Protection на несколько месяцев.

Интересно, что все IP-адреса принадлежат облаку Amazon (54.148.xx, 52.24.xx, 54.186.xx).

Хотя они использовали разных провайдеров для регистрации домена, киберпреступники решили разместить вредоносные сайты в облаке. Причиной может быть то, что он предлагает дополнительный уровень анонимности, он дешевле по сравнению с другими провайдерами или киберпреступники не были уверены в объеме трафика и нуждались в чем-то масштабируемом.

Все еще не найдя активную страницу, мы искали фрагменты предупреждающего сообщения, и один из результатов привел нас на страницу. HexDecoder от ddecode.com , Это веб-сайт, который «сжимает» сценарии или целые веб-сайты. К нашему удивлению, все предыдущие декодирования были сохранены и доступны для общественности.

Это привело к расшифровке скрипта и оригинальному файлу HTML.

Скрипт проверяет параметры URL и отображает разные телефонные номера в зависимости от местоположения пользователя.

Номера телефонов:

Номера телефонов:

Код JavaScript для набора номера телефона был помещен в инструмент Pastebin 29 июля 2015 года и содержит все команды, которые также были в образце, который мы получили от HexDecoder. Это еще одно доказательство того, что это не новая угроза.

Получив правильный образец, мы посмотрели на тестовую машину и получили следующий результат, который похож на то, что мы видим на картинке с умного телевизора:

Эта страница загружается в любом браузере, отображая всплывающее диалоговое окно. Как вы можете видеть выше, это работает даже в Windows XP. Если вы попытаетесь закрыть диалоговое окно или окно, оно появится снова.

После запуска файла на LG Smart TV мы получили такой же результат. Удалось закрыть браузер, но настройки браузера и DNS не изменились. Отключение и повторное включение также решили проблему. Возможно, что в инциденте, описанном в Reddit, было задействовано другое вредоносное программное обеспечение, которое изменило настройки браузера или сети.

Не забывайте никогда не называть эти номера! С минуты на минуту может взиматься плата за подключение или человек, находящийся на другой стороне линии, может попросить вас загрузить и установить на ваше устройство дополнительные вредоносные программы.

Таким образом, нам не приходится иметь дело с новым типом вредоносного ПО, которое атакует умные телевизоры, а с общей угрозой для всех пользователей Интернета. Также были сообщения о том, что целью этой аферы были пользователи Apple MacBook; и поскольку он работает в браузере, он может работать на смарт-телевизорах и даже на смартфонах.

Эти типы угроз часто сочетаются с эксплойтами и могут использовать уязвимости в браузере, Flash Player или приложениях Java. В случае успеха они могут установить на компьютер дополнительное вредоносное ПО или изменить настройки DNS системы или домашнего маршрутизатора, что может вызвать аналогичные симптомы.

Мы не наблюдали такого поведения в описанном случае, поскольку вредоносные сайты уже были удалены.

Однако следует помнить, что в программном обеспечении Smart TV могут быть дыры в безопасности! Вот почему так важно проверить, было ли устройство обновлено. Убедитесь, что у вас установлены последние обновления для вашего Smart TV. Некоторые производители предоставляют обновления автоматически, другие предоставляют пользователям возможность делать это вручную.

Существует вредоносное ПО, которое работает на смарт-телевизорах, но на данный момент его не существует «в дикой природе». Существует несколько причин, по которым преступники ориентируются на пользователей смартфонов и ПК, а не на умные телевизоры:

  • Умные телевизоры не часто используются для серфинга в сети, и пользователи редко устанавливают приложения с веб-сайтов, отличных от магазина, с приложениями производителя, в отличие от пользователей мобильных устройств.
  • Производители используют различные операционные системы: Android TV, Firefox OS, Tizen, WebOS.
  • Аппаратное обеспечение и операционная система могут различаться в зависимости от серии, что делает вредоносную программу несовместимой.
  • Определенно меньше пользователей просматривает Интернет или читает электронную почту на экране телевизора, чем это происходит для ПК и мобильных устройств.

Однако вы должны помнить, что приложение можно установить с USB-накопителя. Если ваш телевизор работает под управлением Android, на нем также может работать вредоносное приложение, созданное для смартфона Android.

Таким образом, в данном случае мы не имеем дело с вредоносными программами, атакующими смарт-телевизоры, однако имейте в виду, что подобные веб-сайты, как и в случае фишинга, работают в каждой операционной системе. Так что держите глаза широко открытыми!