W komentarzu opublikowanym w serwisie Reddit użytkownik “moeburn” wspomniał o możliwości występowania nowego szkodliwego oprogramowania przeznaczonego dla telewizorów smart TV:
My sister got a virus on her TV. A VIRUS ON HER GODDAMN TV.
It was an LG Smart TV with a built in web browser, and she managed to get a DNS Hijacker that would say “Your computer is infected please send us money to fix it” any time she tried to do anything on the TV.iff
Post ten zawierał następujący obraz:
Natychmiast zabraliśmy się do pracy, próbując ustalić, czy zagrożenie to atakowało w szczególności telewizory połączone z internetem czy raczej była to przypadkowa infekcja. Próba połączenia się ze stroną internetową wskazaną w adresie URL na zdjęciu nie udaje się – nazwa domeny nie rozwiązuje się do adresu IP.
Skorzystaliśmy z naszej ulubionej wyszukiwarki i uzyskaliśmy wiele trafień, szukając tej domeny. Oprócz hosta “ciet8jk” (ciet8jk.[maliciousdomain].com), 27 innych hostów zostało przypisanych do tej nazwy domeny, wskazując na ten sam adres IP.
Domena ***-browser-alert-error.com została zarejestrowana 17 sierpnia 2015 r.
Dwa dni później następujący adres IP został przydzielony:
Wygląda na to, że scam ten był online przez zaledwie kilka dni, dlatego jesteśmy pewni, że obraz z telewizora ma co najmniej cztery miesiące.
Tego rodzaju ataki nie są żadną nowością, dlatego zaczęliśmy szukać serwera, który jest obecnie online, aby zobaczyć, co dokładnie strona ta próbuje zrobić.
Niestety, nie zdołaliśmy znaleźć aktywnej strony z tego źródła, jednak szukając ukazanej na zdjęciu wiadomości ostrzegającej znaleźliśmy podobne domeny wykorzystywane do tego samego oszustwa.
Kilka przykładów:
***sweeps-ipadair-winner2.com
***-browser-infection-call-now.com
Ostatnia z wyszczególnionych domen nadal jest aktywna online, nie ma jednak odpowiedzi z serwera. Wszystkie wspomniane nazwy domen są zablokowane przez Kaspersky Web Protection od kilku miesięcy.
Co ciekawe, wszystkie adresy IP należą do chmury Amazona (54.148.x.x, 52.24.x.x, 54.186.x.x).
Chociaż wykorzystywali różnych dostawców w celu zarejestrowania domeny, cyberprzestępcy postanowili hostować szkodliwe strony w chmurze. Powodem mogło być to, że oferuje ona dodatkową warstwę anonimizacji, jest tańsza w porównaniu z innymi dostawcami lub cyberprzestępcy nie byli pewni co do wielkości ruchu i potrzebowali czegoś skalowalnego.
Wciąż nie mogąc znaleźć aktywnej strony, szukaliśmy fragmentów komunikatu ostrzegającego i jeden z wyników doprowadził nas do strony HexDecoder from ddecode.com. Jest to strona internetowa, która „odciemnia” skrypty lub całe strony internetowe. Ku naszemu zaskoczeniu, wszystkie wcześniejsze dekodowania zostały zapisane i są publicznie dostępne.
Prowadziło to do uzyskania zdekodowanego skryptu oraz oryginalnego pliku HTML.
Skrypt sprawdza parametry URL i wyświetla różne numery telefonów w zależności od lokalizacji użytkownika.
Numery telefonów:
JavaScript wybierający numer telefonu został umieszczony w narzędziu Pastebin 29 lipca 2015 r. i zawiera wszystkie polecenia, które znajdowały się również w próbce, którą otrzymaliśmy od HexDecoder. To kolejny dowód na to, że nie jest to nowe zagrożenie.
Mając właściwą próbkę, przyjrzeliśmy się maszynie testowej i uzyskaliśmy następujący wynik, który jest zbliżony do tego, co widzimy na obrazie z telewizora smart TV:
Strona ta ładuje się w dowolnej przeglądarce, wyświetlając wyskakujące okno dialogowe. Jak widać powyżej, działa nawet w systemie Windows XP. Jeśli spróbujesz zamknąć okienko dialogowe lub okno, pojawi się znowu.
Po uruchomieniu pliku w telewizorze LG Smart TV uzyskaliśmy ten sam wynik. Dało się zamknąć przeglądarkę, ale ustawienia przeglądarki ani DNS nie zmieniły się. Wyłączenie i ponowne włączenie również rozwiązało problem. Możliwe, że w incydencie opisanym w serwisie Reddit brało udział inne szkodliwe oprogramowanie, które zmieniało ustawienia przeglądarki lub sieciowe.
Pamiętaj, aby nigdy nie dzwonić na te numery! Możesz zostać obciążony kosztami połączenia od minuty lub osoba po drugiej stronie linii może kazać ci pobrać i zainstalować kolejne szkodliwe programy na Twoim urządzeniu.
A zatem, nie mamy w tym przypadku do czynienia z nowym rodzajem szkodliwego oprogramowania, które atakuje telewizory smart TV, ale z powszechnym zagrożeniem dla wszystkich użytkowników internetu. Pojawiły się również doniesienia, że celem tego scamu byli użytkownicy MacBooków od Apple'a; a ponieważ uruchamia się w przeglądarce, może działać w telewizorach smart TV, a nawet w smartfonach.
Tego rodzaju zagrożenia często są łączone z exploitami i mogą wykorzystać luki w zabezpieczeniach przeglądarki, aplikacji Flash Player lub Java. Jeśli im się powiedzie, mogą zainstalować dodatkowe szkodliwe oprogramowanie w maszynie lub zmienić ustawienia DNS systemu lub rutera domowego, co może spowodować podobne symptomy.
Takiego zachowania nie zaobserwowaliśmy w opisywanym przypadku, ponieważ szkodliwe strony zostały już usunięte.
Należy jednak pamiętać, że w oprogramowaniu inteligentych telewizorów mogą znajdować się luki w zabezpieczeniach! Dlatego tak ważne jest sprawdzenie, czy urządzenie zostało zaktualizowane. Należy upewnić się, że zostały zainstalowane najnowsze aktualizacje dla telewizora smart TV. Niektórzy producenci dostarczają aktualizacje automatycznie, inni pozostawiają to użytkownikom, aby zrobili to ręcznie.
Istnieje szkodliwe oprogramowanie, które działa na telewizorach smart TV, jednak na ten moment nie występuje tak naprawdę “na wolności”. Jest kilka powodów, dla których przestępcy koncentrują się na użytkownikach smartfonów oraz komputerów PC zamiast telewizorów smart TV:
Trzeba jednak pamiętać, że aplikacja może zostać zainstalowana z pamięci USB. Jeśli Twój telewizor działa pod kontrolą systemu Android, szkodliwa aplikacja stworzona dla smartfona z systemem Android może działać również na nim.
Podsumowując, w opisywanym przypadku nie mamy do czynienia ze szkodliwym oprogramowaniem atakującym telewizory smart TV, należy jednak mieć świadomość, że podobne strony, tak jak ma to miejsce w przypadku phishingu, działają na każdym systemie operacyjnym. Miejcie więc oczy szeroko otwarte!
Analizy
Blog