Bösartige Apps greifen Android-basierte Smart TVs an

Originalartikel von Ju Zhu, Mobile Threats Analyst

Smart TVs stellen ein sehr beliebtes Anwendungsszenario im Internet der Dinge dar. Sie sind nicht mehr nur passive Display-Geräte, und viele können sogar Android-Apps ablaufen lassen, eine für manche nützliche Funktionalität, die aber auch ihre eigenen Risiken birgt. Bereits vor zwei Jahren wies Trend Micro auf einige der Probleme mit Smart TVs hin.

Apps, über die Nutzer Programme aus anderen Teilen der Welt sehen können, die ihnen sonst nicht zugänglich sind, mögen für viele attraktiv sein. Aber diese Apps setzen die Nutzer auch Gefahren aus, denn sie enthalten eine Hintertür, die einen Fehler (CVE-2014-7911) in den Android-Versionen vor Lollipop 5.0 (Cupcake 1.5 bis Kitkat 4.4W.2) ausnützt. Die Sicherheitsforscher haben diese bösartigen Apps als ANDROIDOS_ROOTSTV.A identifiziert.

Die meisten smarten TVs nutzen ältere Android-Versionen. Zu den Anbietern, die angreifbare Smart TVs verkaufen, gehören Changhong, Konka, Mi, Philips, Panasonic und Sharp. Zusätzlich sind auch andere Android-Geräte mit älteren Versionen in Gefahr. Doch im Moment werden diese Art von Apps vor allem in Smart TVs oder TV-Boxen verwendet.

Folgende Sites unter dem Namen H.TV, deren Hauptbesucher aus den USA und aus Kanada kommen, verbreiten diese bösartigen Apps.

Bilder Sites, die Malware an Smart TVs weitergeben
Bild 1 http://pf3a[.]res4f[.]com
http://www[.]htvmarket[.]com
http://mak[.]wak2p[.]com
http://wh[.]waks2[.]com
Bild 2 https://sites[.]google[.]com/site/htvfanshare/2012summer_collection

 

Bild 1: Screenshot von Sites, Smart TVs mit Malware versorgen


Bild 2: Screenshot einer Site, die Smart TVs mit Malware versorgt

Des Weiteren nutzt die Schadsoftware auch die folgenden Download-Server:

Domain Beispiel
meiz.le2ui.com http://meiz[.]le2ui[.]com:80/marketdatas/apk/ChineseVideo2.11.1.apk
yaz.e3wsv.com http://yaz[.]e3wsv[.]com:80/marketdatas/apk/ChineseVideo2.11.1.apk

Ablauf des Angriffs

In einem ersten Schritt locken die Angreifer die Besitzer von Smart TVs auf eine der obigen Sites und bringen sie dazu, die mit Schadsoftware infizierten Apps zu installieren. Dann stößt der Angreifer die Sicherheitslücke im System an. Bekannte Exploit-Techniken wie Heap Sprays oder Rücksprung-orientiertes Programmieren werden dafür eingesetzt, um höhere Privilegien im System zu erhalten.

Bild 3: Malware App stößt Schwachstelle an

Bild 4: Malware App nützt das System aus

Mit den höheren Berechtigungen installiert der Angreifer andere Apps oder Schadsoftware auf das System. Die Analyse hat gezeigt, dass die Angreifer aus der Ferne Apps updaten oder Apps auf das Fernsehgerät schieben.

Bild 5: Die App installiert unbemerkt weitere Schadsoftware

Bild 6: Malware updatet Apps aus der Ferne

Diese aus der Ferne installierten Apps werden nur über HTTP heruntergeladen und nicht über HTTPS. Das bedeutet, dass ein zweiter Angreifer, der einen Man-in-the-Middle-Angriff ausführt, die heruntergeladenen Apps ändern und die Payload des ersten überschreiben kann.

Schutz für Smart TVs

Trend Micro™ Mobile Security kann diese Bedrohungen erkennen. Während sich die meisten mobilen Android-Geräte einfach auf die neueste Version aktualisieren lassen, ist diese Aufgabe bei Smart TVs eine Herausforderung, da es Hardware-Limitierungen gibt. Deshalb ist es empfehlenswert, Schutzlösungen zu installieren und keine Apps von Drittanbietern aufzuspielen.

Weitere Infos zu Smart TVs liefert die Infografik „Ready for Primetime?“:

Die folgenden Hashes stehen damit im Zusammenhang:

  • 019d4326d3340609b3f8326d51e031cafc6bf9a0
  • 01a0b3fbf3e4e840e6aa441353ff29e4c5bf3e10
  • 0637b9116af595e7451dea655a05c32aa89fcbdb
  • 069138865d4a58b3683f1aa687408b40c92fe9cf
  • 0937b9598a58c6fad80c8e41f08e11e6d036d4b4
  • 0c6a075e0cf4e94d57afe085d39423400fa88b7c
  • 2bbcf7511d6953a64f4284f2454dce119bd1063e
  • 2daabbe1d2213594c2a8017401f4fa82e24a2475
  • 396cb2137a6cd6880c96035464712513f44d52b9
  • 3fd7f0b2e8249ff5f08a82f5df003f2713744824
  • 583722e9c6bbbf78d7d4d9689679d22ff6a2c4e9
  • 6357da20ed2661d9b8943275c515c3bd6b9b46c6
  • 8f999a80497bc29f633301f7f96489fe9be4eab5
  • 9434f41147eb7259dcf4f1dd8ed7d1209b1546b8
  • 9ecbff5df641da74910439aefd4ab0596afaff6f
  • a54341b76b88034de6a47bb5904e6c01c53f3cc4
  • bde06adde1d6f4ac3a1865a4314ca45ca807b39c
  • d1af06e54e294dbc106c03650ac8a556c1b1e1e9
  • d1f005e07d5369230d2624de94cfcbdad14cd914
  • d3ab0dd0ac28181e0c531909460dcdd417178d2d
  • dbf3a4d820db3974edc8063d852afa40217a9750
  • fe86ae99ee7b75abf2bce047f4b5f2f1b20d3492

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*