Das Streaming von Serien, Filmen, Musik und sogar Spielen ist in den meisten Haushalten mittlerweile normal. Eine Android TV-Box ist dabei ein nützliches Tool, denn die kleinen Mini-Computer mit dem Betriebssystem Android ermöglichen es auch älteren TV-Geräten, die für das Streaming notwendigen Apps auszuführen. Doch von den kleinen praktischen Boxen kann auch Gefahr ausgehen, wie ein Bericht des Sicherheitsunternehmens Human Security zeigt.
In einem Bericht, den das Unternehmen vor ein paar Tagen vorlegte, ist von Anzeichen die Rede, dass rund 200 verschiedene Android-TV-Boxen von Malware befallen sein könnten. Das würde auf die Existenz eines organisierten Netzwerkes hindeuten. Eine genauere Analyse von sieben der betroffenen Modelle und eines Tablets, die alle bei Online-Shops gekauft wurden, ergab, dass in allen untersuchten Fällen Hintertüren installiert waren. Auf 80 Prozent der Geräte fanden die Sicherheitsforscher die Malware Badbox, was zeigt, wie weit verbreitet dieser Schädling tatsächlich ist.
Bei einem der untersuchten Geräte, der Android TV-Box T95, ist schon seit Januar bekannt, dass sie mit vorinstallierter Malware ausgeliefert wird. Entdeckt hatte das Sicherheitsforscher Daniel Milisic auf einem Exemplar, das er auf Amazon gekauft hatte. Bestätigt wurden seine Erkenntnisse im Februar, als auch Experten von Malwarebytes Malware auf einem Exemplar dieser speziellen Box fanden. Trotzdem bietet Amazon sie weiterhin auf seiner Webseite an.
Tatsächlich könnten noch wesentlich mehr Modelle betroffen sein, wie Human Security in seinem Bericht darlegt. Besonders betroffen von Badbox sind demnach vor allem Geräte aus China, die über verschiedene Weiterverkäufer vertrieben werden. Auch die Ergebnisse IT-forensischer Untersuchungen führen nach China, denn sobald die Geräte angeschlossen werden, verbinden sie sich mit einem C2-Server in China. Von dort erhält die Malware eine Reihe von Anweisungen, welche Aktionen sie durchführen soll. Dazu gehören Ad Fraud, das Erstellen gefälschter WhatsApp- und Gmail-Konten, der Verkauf von Zugangsdaten zu Heimnetzwerken und die Installation von Remote-Code. Wichtig ist auch zu wissen, dass die betroffenen Geräte das Betriebssystem Android Open Source Project (AOSP) nutzen und nicht das von Google zertifizierte Google TV oder Android TV, welches deutlich sicherer sein dürfte.
Neben Badbox fiel den Sicherheitsforschern eine weitere Malware namens Peachpit auf. Dabei handelt es sich um eine Komponente von Badbox, die sich auf Ad Fraud konzentriert und die gefälschten Web-Verkehr, versteckte Werbung und Malvertising auf Android- und iOS-Geräte und -Apps einschleusen kann. Tatsächlich ist die Malware damit weniger gefährlich als Badbox selbst, doch auch sie ist weit verbreitet und kann im Gegensatz zu Badbox auch iOS-Geräte angreifen.
Der aktuelle Bericht sollte die Alarmglocken schrillen lassen, denn offenbar sind günstige Streaming-Geräte aus China überaus anfällig für Malware – oder werden direkt mit den gefährlichen Schädlingen ausgeliefert. Hier sind die Verbraucher gefragt, sich selbst zu informieren und eben solche Geräte nicht zu kaufen. Denn wie das Beispiel der T95 zeigt, werden Händler wie Amazon den Verkauf auf ihren Marktplätzen nicht unterbinden.
Bild (c) Glenn Carstens-Peters / Unsplash