Bij een recent onderzoek bij een van onze klanten hebben we een zorgwekkende ontdekking gedaan: een Android TV-box bleek malware te bevatten. Dit toestel probeerde continu om een verbinding te maken met zijn Command & Control (C2) server om op die manier een backdoor in het netwerk te installeren.
Via het C2 center zou het nadien mogelijk zijn om allerlei malafide praktijken uit te voeren: infiltreren in het netwerk, gegevens stelen of zelfs ransomware installeren. Een uiterst gevaarlijke situatie die alle andere beveiligingssystemen zou overbruggen.
Een beetje te vergelijken met een gebruiker die op een phishing link klikt, maar dan volledig remote gestuurd zonder menselijke tussenkomst.
Hoe het begon?
Tijdens een routinecontrole bij klanten die nog niet intekenden op onze 24/7 Managed Cybersecurity Monitoring Service (SOC) viel het hoge aantal botnet-alerts op, afkomstig van een enkel apparaat op het netwerk van de klant.
Onze Cybersecurity Competence Center (CCC)-manager besloot de alerts nader te onderzoeken. Al snel werd duidelijk dat de meldingen verband hielden met een TV-box op het netwerk. Dit werd door de klant in kwestie bevestigd.
Nader onderzoek toonde aan dat deze apparaten vaak worden geleverd met vooraf geïnstalleerde malware. In dit geval ging het om een variant van de CopyCat-malware, die in staat is om rootrechten te verkrijgen en op afstand opdrachten uit te voeren.
Wat we ontdekten?
Onze analyse van diverse bronnen (*) wees uit dat de malware op de TV-box probeert verbinding te maken met een C2-domein, ycxrl[.]com. Dit domein is gelinkt aan malware die voorkomt op de volgende apparaten:
- T95 (AllWinner H616)
- T95Max (AllWinner H618)
- X12-Plus (RockChip 3328)
- X88-Pro-10 (RockChip 3328)
Naast de C2-verbinding zijn er specifieke Indicators of Compromise (IOCs) waarmee de aanwezigheid van deze malware kan worden vastgesteld:
- Een map genaamd /data/system/Corejava
- Een bestand genaamd /data/system/shared_prefs/open_preference.xml
Hoewel in dit geval alleen de C2-verbinding is waargenomen en geblokkeerd, is het belangrijk te beseffen dat de malware ook in staat is om gegevens te exfiltreren en op afstand opdrachten te ontvangen.
Waarom is dit belangrijk?
Deze case benadrukt de risico's van IoT-apparaten op bedrijfsnetwerken. Apparaten zoals TV-boxen, kunnen ernstige beveiligingsrisico's met zich meebrengen. In dit specifieke geval werd de dreiging vroegtijdig ontdekt en geneutraliseerd dankzij de AXS Guard DNS Security functie. Zonder deze bescherming had de malware gevoelige bedrijfsgegevens kunnen stelen of het netwerk kunnen misbruiken voor verdere aanvallen.
Wat kan jij hieraan doen?
Om je netwerk te beschermen tegen dergelijke bedreigingen, raden wij het volgende aan:
- Gebruik steeds DNS Security: Zorgt ervoor dat verdachte DNS-verzoeken worden geblokkeerd en gemonitord.
- Voer een audit uit van alle aangesloten apparaten: Controleer welke apparaten toegang hebben tot uw netwerk en of deze betrouwbaar zijn.
- Investeer in 24/7 monitoring: Overweeg een managed cyber security service zoals ons Observe & Protect-programma om bedreigingen in real-time te detecteren en te mitigeren.
- Vermijd het gebruik van goedkope, onbekende apparaten: Apparaten zonder betrouwbare certificering of ondersteuning vormen een aanzienlijk risico.
Conclusie
Deze case dient als een waarschuwing voor bedrijven: goedkope IoT-apparaten, zoals TV boxen of ook digitale fotokaders, kunnen een ingang bieden voor cybercriminelen. Het is cruciaal om proactief te zijn in het beveiligen van uw netwerk en apparaten. Wilt u meer weten over hoe wij u kunnen helpen uw netwerk te beschermen?
» Neem contact met ons op voor een vrijblijvend adviesgesprek.
Malware in je TV?