1月11日(現地時間)、市販されているAndroid TVボックス「T95 Android TV ボックス」において、プリインストール済みのアクティブなマルウェアが発見されたという調査結果がGitHubリポジトリを通じて報告された。T95はAllwinner H616プロセッサを搭載しており、OSはAndroid 10がインストールされている。
報告者がこのAndroid TVをセットアップしたところ、外部のコマンド・アンド・コントロール(C2)サーバと通信する不審なプロセスが稼働していることが分かったという。
-
GitHub - DesktopECHO/T95-H616-Malware: "Pre-Owned" malware in ROM on T95 Android TV Box (AllWinner H616)
この問題を報告したのは「DesktopECHO」というGitHubアカウントで、アカウントの保持者はDaniel Milisic氏となっている。同氏は、数カ月前にT95をAmazonで購入してセットアップした段階で、多くの既知のアクティブなマルウェアアドレスに対してアクセスする不審なプロセスが稼働していることに気付いたという。これらのプロセスによって、このTVボックスは外部のC2サーバからの命令を受け付ける準備ができた状態にあり、リモートの攻撃者によって不正に操作される可能性があったとのことだ。
発見されたマルウェアの一つは、過去に大きな被害をもたらした「CopyCat」と呼ばれるマルウェアに似た挙動をすることも報告されている。CopyCatは、感染した端末をroot化して常駐して、その端末上で行われる全てのアクションをコントロール可能な状態にする、非常に悪質なマルウェアとして知られている。
報告者は、問題のT95は依然としてAmazonやAliExpressで購入可能な状態であり、注意が必要と警告している。GitHubリポジトリでは、被害を軽減する設定を適用するための簡易スクリプトが公開されている。この設定を適用することでC2サーバからペイロードがダウンロードされることを防げるが、本稿執筆時点では、マルウェア自体を完全に無効にする方法については調査中とのことだ。
