Onderzoekers hebben een nieuw botnet ontdekt dat bestaat uit 1,3 miljoen Android devices verspreid over meerdere landen. Het gaat om een soort device in verschillende uitvoeringen: een Android TV box.
Android TV boxen zijn behoorlijk populair. De meeste providers in Nederland hebben een dergelijke box in het portfolio. Ze zijn klein, zuinig, stil en betaalbaar. Het aanbod van de providers is een fractie van wat er leverbaar is. Wie kijkt op de bekende online marktplaatsen ziet letterlijk duizenden aanbiedingen. Het is die tweede groep boxen die met malware besmet een omvangrijk en groeiend botnet vormt.
Legale boxen – illegale streams
Dit soort boxen trekt wel vaker de aandacht. Organisaties als Stichting Brein halen met enige regelmaat aanbod van Android boxen met Kodi uit de markt omdat daarmee toegang tot illegale streams mogelijk is. De boxen zelf zijn niet illegaal, maar als de pre installed software toegang tot evident illegale content mogelijk maakt dan mogen ze niet meer verhandeld worden.
Of de boxen waar de onderzoekers van Dr.Web voor waarschuwen toegang tot illegale content mogelijk maken is onbekend. Het bedrijf maakt evenmin bekend of dit soort boxen ook in Nederland wordt geleverd. In het artikel is sprake van “overige landen” waar 33 procent van de besmetting zichtbaar is. Nederland zou in die categorie kunnen zitten.
Oude Android
Bekend is dat het gaat om drie verschillende Android versies. Android 7.1.2; Android 10.1; Android 12.1. Wie op die versienummers zoekt in combinatie met “NHG47K” zal zien dat er partijen op de Nederlandse markt actief zijn die mogelijk een probleem hebben.
Andere Android
Google benadrukt overigens dat deze boxen geen gebruik maken van Android TV. De fabrikanten hebben een OS versie uit het Android Open Source Project (AOSP) gehaald. Bij AOSP is schijnbaar geen controle op veiligheid. De ene Android is de andere niet en een goedkope tv box met een oude Android versie van een dropshipper kan heel erg fout zijn.