Amazon está vendiendo Android TV Box chinos infectados con malware

Si retomamos un hilo argumental interesante como es el hecho de que muchos teléfonos del mercado, sobre todo de marcas chinas, están infectados con un malware llamado ya como Guerrilla, entenderemos lo que viene a continuación. Este fue el primer capítulo que hoy tiene su segunda revisión, pero cambiado un poco de tercio, porque si bien todo estaba reñido a Android, hoy también es así. La diferencia es que de los móviles pasamos a los llamados Android TV Box, los cuales muchos tendréis seguro, pues bien, muchas están infectadas con un malware llamado Clickbot y... Es preocupante.

Lo es porque aunque se citan algunos modelos de Android TV Box infectados, en realidad ni se sabe el alcance de los modelos, ni se sabe el alcance de la infección real, aunque aquí sí que se ofrecen algunos datos. En cualquier caso, por ahora, todas las unidades que han sido analizadas son de Amazon, que no tiene exclusiva aquí, pero que por su dimensión está en medio mundo y claro, son accesibles para casi cualquiera.

Llegan los Android TV Box infectados, todos llegan desde China

Amazon-Android-TV-Box-infectado

Se nombran algunos modelos, o marcas, como AllWinner y RockChip, T95Max, X12 Plus, X88 Pro 10, por ejemplo, el problema (y bien grande) es que las empresas desde China salen como churros, y claro, hacen clones exactos con otra carcasa, o simplemente color, con otra marca, y a vender.

Esto lo hemos visto todos, por ejemplo, en Aliexpress, pero en Amazon también se extienden y eso en occidente es un peligro. ¿Por qué tanto drama? Bueno, en primer lugar porque estos productos están calificados con 4 y 5 estrellas curiosamente, tienen miles de insignias y comentarios elogiando los productos, y por lo tanto, aparecerán en los primeros lugares de ventas pareciendo productos fiables.

La historia de cómo se detectó esto es curiosa, porque fue Daniel Milisic con la confirmación del investigador de seguridad de EFF, Bill Budington, quien dieron la voz de alarma. Milisic compró un T95 y descubrió que el firmware del mismo estaba infectado, pero, ¿con qué?

Una red de servidores que enlaza todos los dispositivos afectados

Android TV Box infectado

Es como un enjambre realmente. Su dispositivo se comunicaba con servidores de comandos y control, estando siempre a la espera de instrucciones. Esto evidencia un control total sobre el dispositivo de forma remota, donde el malware era un Clickbot, de ahí su nombre. Un clickbot, para simplificarlo, es el típico malware que hace que te salte la publicidad para que hagas clic, y con ello los atacantes ganan dinero.

Más allá de que sea molesto dirás, "tampoco es para tanto". Bueno, veamos qué más puede hacer Clickbot. El caso es que cuando se enciende el Android TV Box infectado, Clickbot se conecta al servidor, se descarga la actualización de él mismo y extrae información útil del dispositivo y su uso, donde lo peor es que permite además que los autores de dicho firmware infectado lancen cualquier tipo de ataque.

El Android TV Box forma parte a partir de ahí de una red de botnets, donde la potencia del dispositivo junto con internet por parte del usuario, así como su electricidad, la cual consume el dispositivo, pueden ser usados para extraer criptomonedas, robar datos del usuario, del dispositivo, de la red a la que se conecta el Android TV Box e incluso se puede usar para atacar desde ahí otros sitios webs.

Ataques DDOS, control de la información

Pueden incluso sumar la potencia de todos los chips afectados para intentar tirar servidores a base de DDOS. La investigación reveló que es difícil cuantificar la escala de la red. Budington fue más allá:

 “Lo que sí sabemos es que dondequiera que miremos hay diferentes variantes de malware troyano de Android que descargan malware de próxima etapa desde el mismo conjunto de IP, que han estado involucrados en ataques a la cadena de suministro en el pasado. Es una operación impresionante e inquietante”

¿Cómo frenar esto? Pues es muy complejo. Alguien tendría que poder diseñar un firmware libre de Clickbot y ofrecerlo para cada modelo en concreto, que todos los afectados lo instalasen y que fuese en gran volumen. De hecho, como esto es casi imposible, se ve de una forma más factible el hecho de que los usuarios terminen por tirar sus Android TV Box infectados a la basura, que cualquier otra medida.

El problema es que Amazon sigue vendiendo estos dispositivos. Se le preguntó a la compañía de Jeff Bezos si Amazon revisa la seguridad de los dispositivos que vende o si planea retirarlos al menos. No hubo respuesta, al igual que cuando se intentó contactar con las empresas que los fabrican y crean desde China.