Malware auf dem Smart-TV?

In einem kürzlich auf Reddit veröffentlichten Kommentar wies der User „moeburn“ auf die Möglichkeit hin, dass neue Malware für Smart-TVs kursiert:

Meine Schwester hat einen Virus auf ihrem Fernseher. EINEN VIRUS AUF IHREM VERDAMMTEN FERNSEHER.
Es ist ein LG Smart TV mit einem integrierten Browser und sie hat es geschafft, sich einen DNS-Hijacker einzufangen, der ihr jedes Mal, wenn sie versuchte, irgendetwas an ihrem Fernseher zu machen, verkündete: „Ihr Computer ist infiziert, bitte schicken Sie uns Geld, damit wir ihn reparieren“.

Das Reddit-Posting enthielt das folgende Bild:

Malware auf dem Smart-TV?

Wir machten uns umgehend an die Arbeit, um herauszufinden, ob diese Bedrohung exklusiv vernetzte TV-Geräte angriff, oder ob es sich um eine versehentliche Infektion handelte. Der Versuch, sich mit der auf dem Foto angegebenen Website zu verbinden, schlug fehl — der Domain-Name wird in dem Moment nicht zu einer IP aufgelöst.

Wir verwendeten unsere bevorzugte Suchmaschine und fanden viele Treffer, während wir nach der Domain suchten. Neben dem Host „ciet8jk“ (ciet8jk.[maliciousdomain].com), waren 27 andere Hosts diesem Domainnamen zugeteilt und verwiesen auf dieselbe IP-Adresse.

Die Domain ***-browser-alert-error.com wurde am 17. August 2015 registriert.

Zwei Tage später wurde eine IP-Adresse zugewiesen:

Malware auf dem Smart-TV?

Es scheint, als wäre dieser Betrug nur ein paar Tage online gewesen und folglich sind wir uns sicher, dass das Bild auf dem Fernseher mindestens vier Monate alt ist.

Diese Art von Attacken sind nichts Neues, daher machten wir uns auf die Suche nach einem Server, der aktuell online ist, um herauszufinden, was genau diese Seite zu machen versucht.

Leider konnten wir keine Live-Seite von genau dieser Quelle finden, aber während wir nach der auf dem Foto abgebildeten Warnmeldung Ausschau hielten, fanden wir ähnliche Domains, die für denselben Betrug benutzt wurden.

Hier einige Beispiele:

***sweeps-ipadair-winner2.com

Malware auf dem Smart-TV?

***-browser-infection-call-now.com

Malware auf dem Smart-TV?

Die letzte Domain auf der Liste ist noch immer online, aber es gibt keine Antwort von dem Server.
Alle anderen erwähnten Domainnamen wurden für mehrere Monate von Kaspersky Web Protection blockiert.

Interessanterweise gehören alle diese IPs zu der Cloud von Amazon (54.148.x.x, 52.24.x.x, 54.186.x.x).

Obgleich die Angreifer unterschiedliche Provider benutzten, um die Domain zu registrieren, beschlossen sie, die schädlichen Seiten in der Cloud unterzubringen. Der Grund dafür liegt möglicherweise darin, dass die Cloud eine zusätzliche Ebene der Anonymisierung bietet, dass sie billiger ist als andere Provider oder weil die Verbrecher sich bezüglich des Traffics unsicher waren und etwas Messbares benötigten.

Während wir noch immer keine Live-Seite finden konnten, suchten wir weiter nach Teilen der Warnmitteilung und ein Treffer führte uns zu HexDecoder von ddecode.com. Es handelt sich dabei um eine Webseite, die Skripte oder ganze Webseiten de-obfuskiert. Zu unserer Überraschung waren alle bisherigen Decodierungen gespeichert und öffentlich einsehbar.

Das führte uns zu einem decodierten Skript und der originalen HTML-Datei.

Malware auf dem Smart-TV?

Das Skript überprüft die URL-Parameter und zeigt verschiedene Telefonnummern am Standort des Nutzers an.

Telefonnummern:

STANDARD (USA)                  : 888581****
Frankreich                                : +3397518****
Australien                                 : +6173106****
Großbritannien                         : +44113320****
Neuseeland                              : +646880****
Südafrika                                  : +2787550****

Das JavaScript, das die Telefonnummer auswählt, wurde am 29. Juli 2015 auf Pastebin hochgeladen und enthielt alle Kommentare, die auch im dem Sample zu finden waren, das wir von HexDecoder bekommen hatten. Das ist ein weiterer Hinweis darauf, dass es sich nicht um eine neue Bedrohung handelt.

Mit dem nunmehr richtigen Sample in Händen starteten wir einen Versuch auf einem Testrechner und erhielten das folgende Ergebnis, das dem sehr ähnlich ist, was wir auf dem Bild des Smart-TV zu sehen bekommen hatten:

Malware auf dem Smart-TV?

Die Seite wird in jedem Browser geladen und zeigt einen Popup-Dialog an. Wie oben zu sehen ist, funktioniert es sogar unter Windows XP. Versucht man den Dialog oder das Fenster zu schließen, so erscheint es erneut.

Malware auf dem Smart-TV?

Wir haben die Datei auch auf einem LG Smart TV ausgeführt und dasselbe Ergebnis erhalten. Es war möglich, den Browser zu schließen, aber sie hat keine Browser- oder DNS-Einstellung geändert. Ein Aus- und Wiedereinschalten löste das Problem ebenfalls. Es ist möglich, dass an dem auf Reddit beschriebenen Fall noch andere Malware beteiligt war, die die Browser- oder Netzwerk-Einstellungen verändert hat.

Rufen Sie niemals solche Telefonnummern an! Die Gespräche könnten pro Minute abgerechnet werden oder jemand am anderen Ende der Leitung könnte Sie auffordern, noch mehr Schadprogramme auf Ihr Gerät zu laden und zu installieren.

Das heißt, in diesem Fall handelt es sich nicht um einen neuen Malware-Typ, der speziell Smart-TVs angreift, sondern um eine gängige Bedrohung für alle Internet-Nutzer. Es gibt auch Berichte, dass auch Nutzer von Apple MacBooks von dieser Bedrohung betroffen sind; und da die Malware auf Browsern läuft, kann sie auch auf Smart-TVs und selbst auf Smartphones laufen.

Diese Arten von Bedrohungen werden häufig mit Exploits kombiniert, die sich Schwachstellen im Browser, Flash Player oder in Java zunutze machen. Sind sie erfolgreich, so können die Exploits zusätzliche Malware auf den Geräten installieren oder die DNS-Einstellungen Ihres System oder Ihres Heimrouters ändern, was zu ähnlichen Symptomen führen kann.

Ein solches Verhalten konnte in diesem Fall nicht beobachtet werden, da die schädlichen Seiten bereits entfernt worden waren.
Denken Sie immer daran, dass die Software auf Ihrem Fernseher Sicherheitslücken enthalten kann! Daher ist es wichtig sicherzustellen, dass das Gerät auf dem aktuellen Stand ist. Überzeugen Sie sich davon, dass Sie das neuste Update für Ihren Fernseher installiert haben! Einige Anbieter wenden die Updates automatisch an, während andere es dem Nutzer überlassen, das Update manuell zu installieren.

Es gibt auch Malware, die auf Smart-TVs funktioniert, aber die ist derzeit nicht wirklich „in freier Wildbahn“ anzutreffen. Dafür, dass Verbrecher sich auf PCs und Smartphones – und nicht auf Smart-TVs konzentrieren – gibt es mehrere Gründe:

  • Smart-TVs werden nicht häufig benutzt, um auf Websites zu surfen und die Nutzer installieren selten irgendeine App von anderen Webseiten als dem App-Store des Anbieters – so wie es bei mobilen Geräten der Fall ist.
  • Die Anbieter verwenden unterschiedliche Betriebssysteme: Android TV, Firefox OS, Tizen, WebOS.
  • Die Hardware und das Betriebssystem können sich von Typ zu Typ unterscheiden, was dazu führt, dass die Malware nicht kompatibel ist.
  • Weitaus weniger Nutzer surfen mit dem Fernseher im Netz oder lesen auf dem TV ihre E-Mails als auf dem PC oder auf mobilen Geräten.

Aber vergessen Sie nicht, dass man beispielsweise auch eine App von einem USB-Stick installieren kann. Wenn auf Ihrem Fernseher Android läuft, könnte eine schädliche App, die für ein Android-Smartphone entwickelt wurde, auch auf Ihrem Fernseher funktionieren.

Kurz gesagt: In diesem Fall greift die Malware nicht exklusiv Smart-TVs an, aber denken Sie immer daran, dass solche Websites – so wie es mit Phishing im Allgemeinen ist – auf jeder Betriebssystem-Plattform laufen, die Sie benutzen.
Halten Sie die Augen offen!

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Anwender

    Sehr gut geschriebener Artikel. Mir gefällt wie Sie von den technischen Details auf verständliche Handlungsanweisungen für mich Anwender kommen. Hatte zum ersten Mal den Link „Überblick über die Virenaktivität“ geclickt, obwohl ich schon seit 6 Jahren Kaspersky habe. Ich wusste nicht, dass die Informationen der Seite globaler Art sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.