아마존이나 알리익스프레스에서도 판매되고 있는 안드로이드 TV를 탑재한 셋톱박스인 T95에 멀웨어가 프리 인스톨됐다는 보고가 깃허브에 올라왔다. 멀웨어 정체는 안드로이드 기기를 대상으로 감염되는 카피캣(CopyCat)과 비슷하다고 한다.
문제된 셋톱박스는 아마존닷컴에서도 판매되는 것으로 가격은 32.99달러다. 안드로이드 10.0을 탑재하고 SoC로 올위너(Allwinner) H616, CPU는 코어텍스-A5에 GPU는 말리-G31, 램은 2GB, 저장공간은 16GB, 6K 울트라 HD에 대응하고 있다. 이 제품은 알리익스프레스에서도 판매되고 있다.
보고자는 직접 개발한 안드로이드용 툴(Pi-hole) 테스트를 위해 T95를 구입했다고 한다. 하지만 T95를 보자 안드로이드10은 테스트키로 서명되어 있고 구글 픽셀2를 따서 월리(Wallye)라고 명명되어 있었다고 한다. 더구나 기기와 통신하기 위한 다용도 커맨드 라인 툴(Android Debug Bridge)이 이더넷과 와이파이를 경유해 넓게 열려 있는 게 판명됐다.
실제로 T95에 테스트 툴을 설치하고 DNS를 127.0.0.1로 설정하자 T95가 활성 멀웨어 주소에 액세스하고 있는 게 밝혀졌다. 보고자는 악성코드를 삭제하고 프로세스를 추적하면서 수상한 움직임을 하고 있는 걸 삭제해나갔다. 많은 멀웨어를 삭제할 수 있었지만 하나는 저장공간 깊숙한 곳에 짜여져 있어 삭제할 수 없었다고 한다. 삭제할 수 없었던 멀웨어는 이미 보고된 카피캣과 동작이 비슷했다고 한다.
그 결과 T95 내 악성코드가 교환하는 C2 서버 DNS를 127.0.0.2로 바꿔 악성코드 활동을 감시하면서 거의 무력화할 수 있었다고 한다. T95는 악성코드에 감염되어 C2 서버가 결정한 작업을 수행할 준비가 되어 있으며 아마존에서 악성코드가 직접 도착하는 셈으로 안드로이드 TV 섹션에 악성코드가 포함되어 있다는 카테고리를 추가해야 한다고 지적했다. 이 보고자는 멀웨어를 비활성화하는 스크립트 소스 코드도 올렸다. 관련 내용은 이곳에서 확인할 수 있다.