Malware sulla Smart TV?

In un commento postato su Reddit nel corso di questa settimana, l’utente “moeburn” ha avanzato l’ipotesi che potesse essere in circolazione un nuovo malware destinato a colpire le Smart TV:

Mia sorella ha un virus sulla sua TV. UN VIRUS SULLA SUA DANNATA TV.
Si tratta di una Smart TV LG, con browser Web incorporato, e lei è riuscita a beccarsi un DNS Hijacker; ogni volta che mia sorella ha cercato di fare qualcosa con la propria TV è comparso un messaggio di popup che, in pratica, voleva dire “Il tuo computer è infetto; inviaci dei soldi, se vuoi risolvere il problema”.

Il post pubblicato su Reddit includeva questa immagine:

Malware sulla Smart TV?

Ci siamo immediatamente messi al lavoro, con il preciso intento di stabilire se la minaccia qui sopra descritta prendesse specificamente di mira gli apparecchi televisivi connessi in Rete o si fosse trattato, invece, di un’infezione del tutto accidentale. Abbiamo in primo luogo appurato che ogni tentativo di collegamento con la pagina web corrispondente all’URL visibile sulla foto qui sopra riportata risultava infruttuoso: il nome di dominio, in effetti, non si risolve, al momento, in un indirizzo IP.

Abbiamo poi utilizzato il nostro motore di ricerca preferito, rilevando la presenza di numerosi risultati riguardanti il dominio in questione. È stato da noi osservato, nella circostanza, come, oltre all’host “ciet8jk” (ciet8jk.[dominiomalevolo].com), fossero stati assegnati a tale nome di dominio altri 27 host, i quali puntavano allo stesso indirizzo IP.

Il dominio ***-browser-alert-error.com è stato registrato il 17 agosto 2015.

Due giorni dopo, ad esso è stato assegnato un indirizzo IP:

Malware sulla Smart TV?

Nella circostanza, sembra proprio che il tentativo di scam qui analizzato fosse già presente online da alcuni giorni; siamo quindi sicuri del fatto che l’immagine visualizzata sullo schermo della TV risalga ad almeno quattro mesi fa.

Questo particolare genere di attacco non costituisce di certo un elemento di novità; abbiamo così iniziato a ricercare un server che, sul momento, risultasse online, per renderci conto di cosa intendesse esattamente fare la pagina web malevola.

Purtroppo, non siamo riusciti a reperire una pagina “live” riconducibile alla fonte sopra indicata; ad ogni caso, durante la ricerca del messaggio di allerta mostrato sulla foto, abbiamo individuato domini simili, utilizzati per l’identica tipologia di scam.

Eccone alcuni esempi:

***sweeps-ipadair-winner2.com

Malware sulla Smart TV?

***-browser-infection-call-now.com

Malware sulla Smart TV?

L’ultimo dominio qui sopra elencato risulta ancora online, ma non si registra alcuna risposta da parte del server.
Tutti i nomi di dominio menzionati sono stati bloccati per vari mesi da Kaspersky Web Protection.

È di particolare interesse rilevare come tutti gli IP in causa appartengano al cloud di Amazon (54.148.x.x, 52.24.x.x, 54.186.x.x).

Quindi, sebbene abbiano utilizzato vari provider per la registrazione del dominio, i malintenzionati in questione hanno poi deciso di collocare le loro pagine malevole “in-the-cloud”. Questo può essere dovuto al fatto che il cloud offre un ulteriore livello di anonimato, oppure al fatto che la “nuvola telematica” risulta più a buon mercato rispetto ai servizi di hosting offerti dagli altri provider. Non si può infine escludere l’ipotesi che la scelta sia semplicemente dipesa da un terzo fattore: è probabile che i malfattori non fossero sicuri dei volumi di traffico che avrebbero generato, ed avessero pertanto bisogno di qualcosa di scalabile.

Non riuscendo ad individuare una pagina “live”, abbiamo continuato a ricercare singole porzioni del messaggio di avviso comparso sullo schermo della Smart TV; uno dei link restituiti dal search engine ci ha così condotto verso l’Hex Decoder situato all’indirizzo ddecode.com. Si tratta, nella fattispecie, di una pagina Internet in grado di deoffuscare gli script o intere pagine web. Con nostra sorpresa, tutti i risultati relativi alle operazioni di decodifica effettuate in precedenza erano stati salvati, e risultavano, quindi, pubblicamente visualizzabili.

Questo ci ha rapidamente condotto allo script decodificato qui sotto inserito, e al file HTML originale.

Malware sulla Smart TV?

Lo script verifica i parametri dell’URL, e fa sì che vengano visualizzati numeri di telefono diversi a seconda della posizione geografica in cui si trova l’utente.

Numeri di telefono:

DEFAULT (Stati Uniti)                  : 888581****
Francia                                          : +3397518****
Australia                                        : +6173106****
Regno Unito                                  : +44113320****
Nuova Zelanda                              : +646880****
Sudafrica                                       : +2787550****

Risulta che il codice JavaScript adibito a selezionare il numero di telefono da contattare sia stato caricato su Pastebin lo scorso 29 luglio 2015; esso include, tra l’altro, tutti i commenti ugualmente presenti nel sample ottenuto grazie a Hex Decoder. Si tratta, indubbiamente, di un ulteriore, preciso indicatore riguardo al fatto che non ci troviamo di fronte ad una nuova minaccia.

Avendo finalmente a disposizione il sample giusto, abbiamo provveduto ad effettuare un apposito controllo tramite una test machine, ed abbiamo ottenuto il risultato qui sotto visibile, molto simile a ciò che, di fatto, viene mostrato attraverso l’immagine comparsa sulla Smart TV:

Malware sulla Smart TV?

La pagina viene caricata da qualsiasi browser, e fa sì che l’utente visualizzi una finestra di popup. Come si può vedere qui sopra, essa funziona anche su Windows XP. Se l’utente cerca di chiudere la finestra di dialogo, quest’ultima compare di nuovo.

Malware sulla Smart TV?

Abbiamo ugualmente eseguito il file su una Smart TV LG, ottenendo lo stesso identico risultato. Nella circostanza, si è rivelato possibile chiudere il browser web; questo, tra l’altro, non ha comportato alcuna modifica delle impostazioni DNS o del browser stesso. Lo spegnimento e la successiva riaccensione del televisore ha ugualmente permesso di risolvere il problema. È pertanto possibile che, nello specifico caso riferito nel post pubblicato su Reddit, sia entrato in gioco un altro malware, in grado di modificare le impostazioni del browser o i settaggi di rete.

Tenete sempre ben presente che non si dovrebbero mai chiamare simili numeri di telefono! Potrebbero in effetti esservi addebitate costose tariffe per ogni minuto di conversazione, oppure qualche malintenzionato, situato all’altro capo della linea, potrebbe fornirvi istruzioni malevole, volte a produrre il download e l’installazione di ulteriori programmi malware sul vostro dispositivo.

In questo caso, quindi, non si tratta di un nuovo tipo di malware, specificamente destinato a prendere di mira le Smart TV, bensì di una minaccia comune per tutti gli utenti di Internet. Si ha inoltre notizia del fatto che lo scam analizzato nel presente blog post abbia colpito gli utenti provvisti di MacBook Apple; e dal momento che il malware in questione viene eseguito sul browser, esso può ugualmente funzionare sulle Smart TV, e persino sugli smartphone.

Questo genere di minacce risulta spesso abbinato agli exploit, e può quindi trarre vantaggio dalle vulnerabilità individuate a livello di browser, nell’applicazione Flash Player o nella piattaforma Java. In caso di successo, i suddetti programmi malware possono installare sulla macchina-vittima ulteriori software nocivi, oppure modificare le impostazioni DNS del vostro sistema o del vostro router domestico, generando sintomi simili.

Nel caso specifico da noi esaminato, non abbiamo potuto osservare tale comportamento, in quanto le pagine web malevole erano state già rimosse.
Tenete ad ogni caso ben presente che il software di cui fa uso la vostra TV potrebbe presentare delle vulnerabilità. Si rivela quindi importante verificare se il vostro dispositivo è aggiornato o meno. Assicuratevi di aver installato gli ultimi update rilasciati per la vostra Smart TV! Alcuni vendor implementano gli aggiornamenti in maniera automatica, mentre altri lasciano che sia l’utente ad attivare manualmente l’update di volta in volta disponibile.

Riassumendo: vi sono, indubbiamente, programmi malware in grado di funzionare sulle Smart TV; essi, tuttavia, non sono realmente “in the wild”, al momento attuale. Esistono, allo stesso tempo, diversi motivi per cui i cybercriminali concentrano le loro losche attenzioni sugli utenti di PC e smartphone, anziché sulle Smart TV:

  • Le Smart TV non vengono utilizzate spesso per navigare in Internet; inoltre, gli utenti installano di rado le applicazioni disponibili sulle pagine web, preferendo, di fatto, quelle presenti nell’app store ufficiale del vendor: si verifica, in pratica, la stessa cosa che avviene con i dispositivi mobili.
  • I vendor utilizzano vari sistemi operativi: Android TV, Firefox OS, Tizen, WebOS.
  • L’hardware e l’OS possono risultare differenti persino da serie a serie, rendendo in tal modo il malware incompatibile.
  • Il numero degli utenti che navigano sul web o leggono le proprie e-mail attraverso la TV è di gran lunga inferiore al numero di utenti che si avvalgono di PC o dispositivi mobili per eseguire tali attività.

Ricordate bene, ad ogni caso, che è sempre possibile installare un’app da una chiavetta USB. Se il vostro televisore è provvisto di sistema operativo Android, un’applicazione maligna appositamente creata per colpire gli smartphone Android potrebbe ugualmente funzionare sulla vostra TV.

In poche parole, non si tratta, nel caso qui esaminato, di malware specificamente sviluppato per prendere di mira le Smart TV; sappiate, tuttavia, che simili siti web, così come avviene in genere per il phishing,funzionano su qualsiasi piattaforma OS stiate utilizzando.
Tenete quindi gli occhi ben aperti!

Post correlati

C'è 1 commento
  1. Gumirato Danilo

    Raramente ho potuto leggere un report cosi’ dettagliato sull’incidente, ma soprattutto alla fine vengono dati i consigli onde poter evitare il problema descritto. Grazie cordiali saluti Danilo Gumirato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *