Киберэксперт Головин: в дешевых Android-приставках для ТВ регулярно находятся вирусы

В российских интернет-магазинах продается потенциально опасная Android-приставка T95 для телевизоров. В одном из экземпляров устройства были обнаружены встроенные вирусы, позволяющие злоумышленникам следить за пользователями. Эксперты считают, что с высокой долей вероятности другие приставки этой модели тоже заражены и представляют угрозу. "Газета. Ru" рассказывает, что делать людям, которые уже купили и пользуются устройством.

Опасное дополнение Независимый исследователь по информационной безопасности из Канады Даниэль Милишич приобрел на Amazon Android-приставку Т95, чтобы добавить своему старому телевизору функции Smart TV. Во время настройки специалист проанализировал операционную систему (ОС) устройства и установил программу для мониторинга интернет-ресурсов, к которым гаджет обращается в фоновом режиме. По итогу проверки в Т95 выявились две большие проблемы с безопасностью.

В первую очередь специалист обратил внимание на то, что производителем или продавцом на приставку была установлена модифицированная версия Android 10. От обычной ОС она отличалась открытым через Wi-Fi или Ethernet доступом к Android Debug Bridge (ADB), режиму отладки устройства, обеспечивающему пользователя абсолютным доступом к функциям и файлам устройства. Открытый через Wi-Fi или Ethernet доступ к ADB означает, что любой подключившийся к устройству через интернет человек может вести полную слежку за его пользователем. "Помимо прочего, ADB позволяет производить установку приложений на устройство без ведома пользователя. Разрешение на доступ к этому интерфейсу через интернет потенциально дает злоумышленнику возможность удаленно управлять устройством пользователя и устанавливать на него любые программы", – объяснил "Газете.Ru" эксперт по кибербезопасности "Лаборатории Касперского" Игорь Головин. Вторую проблему выявила программа-трекер интернет-соединений. Оказалось, что в фоне Т95 подключается к нескольким IP-адресам, связанным с CopyCat или другим подобным ему Android-вирусам. Более того, "зашитый" в операционную систему приставки CopyCat скачивает дополнительные модули, наделяющие вирус новыми вредоносными функциями. "Информация о вредоносном ПО CopyCat впервые была опубликована в 2017 году. Обычно с его помощью злоумышленники зарабатывают деньги, демонстрируя пользователям зараженных устройств рекламу", – рассказал "Газете.Ru" специалист Group-IB по цифровой криминалистике Игорь Михайлов. Он добавил, что, скачивая дополнительные модули, вирус потенциально может получить полное управление над зараженным гаджетом. "Сегодня вредоносное ПО показывает назойливую рекламу, а завтра подгружает модуль для скрытого шпионажа с использованием камеры и микрофона устройства. Послезавтра новый модуль шифрует устройство, выводит его из строя. Функционал вредоносной программы меняется от целей ее владельца", – сказал Михайлов. По итогу Даниэлю Милишичу удалось лишь частично нейтрализовать вредоносные функции устройства. Для этого он вручную ограничил количество серверов, к которым Т95 может подключаться. Пользователям, которые не имеют навыков программирования, специалист рекомендовал полностью отключить приставку от интернета. По словам Милишича, определить, заражен ли тот или иной экземпляр Т95 вирусом, можно по наличию папки "/data/system/Corejava" и файла "/data/system/shared prefs/open preference.xml". Масштаб угрозы Милишич отметил, что Android-приставка T95 продается не только на Amazon, но и на AliExpress. В каждом случае указываются разные производители и разные продавцы, но при этом их устройства полностью идентичны. "Газета.Ru" нашла T95 на российских маркетплейсах вроде Ozon, WildBerries и Joom. В некоторых случаях товар имеет сотни оценок и десятки комментариев. На AliExpress также можно найти русскоязычные отзывы на приставку. Приставка Милишича и устройства, доступные россиянам, имеют одинаковые экстерьер, набор аксессуаров и характеристики. В частности, во всех устройствах установлен процессор AllWinner H616 и Android 10. По словам опрошенных "Газетой.Ru" специалистов по информационной безопасности, нельзя без тщательной проверки утверждать, что все они имеют те же проблемы, что и экземпляр Милишича. Однако шанс совпадения симптомов высок. "Вероятность того, что не повезло одному лишь Милишичу, низкая. Как правило, устройства от неизвестных китайских производителей имеют тот или другой вредоносный функционал. Весьма вероятно, что приставки, приобретенные россиянами, также инфицированы этим или другим подобным вредоносным ПО", – сказал Игорь Михайлов. Специалист "Лаборатории Касперского" Головин отметил, что в бюджетных устройствах от малоизвестных вендоров регулярно находят встроенные вредоносные программы. "В частности, мы встречались с подобным распространением на ТВ-приставках майнеров (скрытых программ для добычи криптовалют, – прим. ред.)", – добавил он. По словам специалистов, обычно выгодоприобретателем в данной схеме является производитель устройств. Ввиду того, что приставки вроде Т95 имеют низкую цену, для повышения их маржинальности на этапе производства в устройства внедряется вредоносное ПО, позволяющее монетизировать их после продажи. "Осуществляется это путем показа рекламы, авторегистрации новых аккаунтов, использования устройств в DDoS-атаках, установки майнеров и других подобных способов", – сказал Михайлов. В целом эксперты из сферы кибербезопасности рекомендуют с настороженностью подходить к приобретению приставок от неизвестных производителей. В частности, перед покупкой стоит поискать новости про выбранную модель и подробно изучить отзывы. По возможности стоит отдать предпочтение более дорогому гаджету, но от бренда с хорошей репутацией. В поисках виновного Юристы считают, что в случае обнаружения в купленной Android-приставке T95 вредоносных функций потребитель вправе рассчитывать как минимум на возврат денежных средств. "При обнаружении в товаре недостатков потребитель вправе требовать как возврата уплаченной за товар денежной суммы, так и возмещения прочих убытков, возникших в связи с покупкой недоброкачественного товара. Основанием тому является пункт 1 статьи 18 Закона "О защите прав потребителей". Такое требование потребитель может предъявить как продавцу, так и изготовителю или импортеру", – сказал председатель общественной организации по защите прав потребителей "Общественная потребительская инициатива", кандидат юридических наук Олег Павлов. Важно, что в данном случае ответственность несет не маркетплейс, а продавец, выступающий на интернет-площадке, и изготовитель, если он представлен в России. В свою очередь юрист и член Комитета торгово-промышленной палаты РФ Павел Катков отметил, что для возврата средств за покупку и подачи других претензий к продавцу потребителю нужно доказать наличие вредоносных функций в устройстве. Для этого придется провести экспертизу. "Гражданин может самостоятельно заказать экспертизу в специализированной организации. Их точный состав законом не установлен, но, очевидно, ими являются организации со специалистами в сферах IT и ИБ. Ими могут быть как коммерческие компании, так и технические вузы вроде МГТУ им. Баумана", – сказал Катков. Более того, можно обратиться в Роспотребнадзор или МВД, а также СК РФ. По словам юриста, управление "К", подразделение МВД, борющееся с преступлениями в сфере IT, вполне компетентно в данных вопросах. Юристы также сошлись во мнении, что в случае обнаружения вредоносных программ в приставке продавцу также может быть предъявлено обвинение по статьи 273 УК РФ "Создание, использование и распространение вредоносных компьютерных программ". В Ozon, WildBerries, Joom и AliExpress на вопросы "Газеты.Ru" о продаже на их платформах потенциально опасных устройств не ответили. Связаться с продавцами на данных платформах также не удалось.