Malware sur une télévision connectée ?

Dans un commentaire publié cette semaine sur Reddit, l’utilisateur « moeburn » évoquait la possibilité d’un nouveau malware pour les télévisions connectées :

La télévision de ma soeur a été infecté par un virus. UN VIRUS SUR SA FOUTUE TELEVISION.
C’est une télévision connectée LG avec un navigateur Internet intégré. Elle a récupéré un DNS Hijacker qui affichait le message « Votre ordinateur est infecté, envoyez-nous de l’argent pour régler le problème » chaque fois qu’elle essayait de faire quelque chose sur la télévision.iff

La publication sur Reddit était accompagnée de l’image suivante :

Malware sur une télévision connectée ?

Nous avons tout de suite essayé de voir si cette menace visait spécialement les télévisions connectées ou s’il s’agissait d’une infection accidentelle. Les tentatives de connexion à la page dont l’adresse Internet apparaît sur la photo n’ont rien donné. Actuellement, le nom de domaine n’est pas résolu en adresse IP.

Nous avons utilisé notre moteur de recherche favori et nous avons obtenu beaucoup de résultats pour le domaine. En plus de l’hôte « ciet8jk » (ciet8jk.[maliciousdomain].com), 27 hôtes supplémentaires ont été associés à ce nom de domaine et pointaient vers la même adresse IP.

Le domaine ***-browser-alert-error.com a été enregistré le 17 août 2015.

Deux jours plus tard, une adresse IP était attribuée :

Malware sur une télévision connectée ?

Il semblerait que cette arnaque a circulé en ligne pendant quelques jours seulement et par conséquent, nous sommes convaincus que l’image de la télévision remonte à au moins quatre mois.

Ce genre d’attaque n’est pas une nouveauté et nous avons donc commencé à rechercher un serveur actuellement en ligne afin de voir exactement ce que la page tente de réaliser.

Malheureusement, nous n’avons pas été en mesure de trouver une page active de cette source en question, mais nos recherches sur le message d’alerte affiché dans la photo nous a permis de voir que des domaines similaires étaient employés dans la même arnaque.

Voici quelques exemples :

***sweeps-ipadair-winner2.com

Malware sur une télévision connectée ?

***-browser-infection-call-now.com

Malware sur une télévision connectée ?

Ce dernier domaine cité est toujours en ligne, mais le serveur ne répond pas.
Tous les noms de domaines cités ont été bloqués depuis plusieurs mois par Kaspersky Web Protection.

Il est intéressant de constater que toutes les adresses IP se trouvent dans le cloud d’Amazon (54.148.x.x, 52.24.x.x, 54.186.x.x).

Bien qu’ils ont utilisé des fournisseurs différents pour enregistrer le domaine, ils ont décidé d’héberger les pages malveillantes dans le cloud. Ceci peut s’expliquer par la couche d’anonymat supplémentaire, par le coût inférieur comparé à celui des autres fournisseurs ou par les incertitudes quant au volume du trafic et la nécessité d’une montée en puissance.

Alors que nous n’avions toujours pas trouvé de page active, nous avons poursuivi nos recherches sur différentes parties du message d’alerte et un des résultats nous à conduit à HexDecoder de ddecode.com. Il s’agit d’une page Internet qui annule l’obfuscation de scripts ou de pages Internet complètes. Quelle ne fut pas notre surprise de voir que tous les décodages avaient été sauvegardés et qu’ils étaient accessibles au public.

Cette découverte nous a menés à un script décodé et au fichier HTML original.

Malware sur une télévision connectée ?

Le script vérifie les paramètres de l’adresse Internet et affiche différents numéros de téléphone en fonction de la situation géographique de l’utilisateur.

Numéros de téléphone :

PAR DEFAUT (Etats-Unis)              : 888581****
France                                             : +3397518****
Australie                                          : +6173106****
Royaume-Uni                                  : +44113320****
Nouvelle-Zélande                            : +646880****
Afrique du Sud                                  : +2787550****

Le JavaScript responsable de la sélection du numéro de téléphone avait été chargé sur Pastebin le 29 juillet 2015 et il contenait tous les commentaires que nous avions vus dans l’échantillon obtenu sur HexDecoder. Un autre élément tend à prouver que cette menace n’est pas récente.

Désormais en possession de l’échantillon adéquat, nous avons réalisé des essais sur un ordinateur et nous avons obtenu ce résultat, qui ressemble assez bien à ce que montre l’image de la télévision connectée :

Malware sur une télévision connectée ?

La page s’ouvre dans n’importe quel navigateur et affiche une boîte de dialogue contextuelle Comme vous pouvez le voir, elle fonctionne même sous Windows XP. La boîte de dialogue ou la fenêtre s’ouvre à nouveau à chaque fois que vous essayez de la fermer.

Malware sur une télévision connectée ?

Nous avons également exécuté le fichier sur une télévision connectée LG et nous avons obtenu un résultat identique. Il était possible de quitter le navigateur, mais aucun paramètre DNS ou du navigateur n’était modifié. La mise hors tension et sous tension de la télévision permettait également de résoudre le problème. Il se peut qu’un autre malware a été impliqué dans le cas signalé sur Reddit et que celui-ci pouvait modifier les paramètres du navigateur ou réseau.

N’oubliez pas qu’il ne faut jamais contacter ces numéros Vous pourriez être facturé à la minute ou une personne à l’autre bout de la ligne pourrait vous donner des instructions pour télécharger d’autres malwares sur votre appareil.

Donc, dans ce cas-ci, il ne s’agit pas d’un malware qui vise spécialement les télévisions connectées, mais bien d’une menace qui touche tous les utilisateurs d’Internet. Cette arnaque aurait également touché des utilisateurs de MacBooks d’Apple ; et comme ce malware est exécuté dans le navigateur, il peut toucher les télévisions connectées et les smartphones.

Les menaces de ce genre sont souvent associées à des codes d’exploitation et peuvent profiter de vulnérabilités dans le navigateur, Flash Player et Java. En cas de réussite, elles peuvent installer d’autres malwares sur l’appareil ou changer les paramètres DNS de votre système ou de votre routeur, ce qui pourrait donner des symptômes similaires.

Ces comportements n’ont pas pu être observés dans ce cas car les pages malveillantes avaient déjà été éliminées.
N’oubliez pas que le logiciel de votre télévision peut compter des vulnérabilités. Il est dès lors important de vérifier si votre appareil est à jour. Veillez
à installer les mises à jour les plus récentes sur votre télévision connectée. Certains éditeurs appliquent les correctifs automatiquement tandis que d’autres laissent à l’utilisateur la liberté de lancer la mise à jour manuellement.

Il existe un malware pour les télévisions connectées, mais il n’est pas vraiment en circulation pour l’instant. Plusieurs raisons expliquent pourquoi les criminels se concentrent sur les ordinateurs et les smartphones et non pas sur les télévisions connectées :

  • les télévisions connectées ne sont pas souvent utilisées pour naviguer et les utilisateurs installent rarement des applications autres que celle du magasin de l’éditeur, à la différence des utilisateurs d’appareils mobiles.
  • Les éditeurs utilisent différents systèmes d’exploitation : Android TV, Firefox OS, Tizen, WebOS.
  • Le matériel et le système d’exploitation peuvent même changer d’une série à l’autre, ce qui rend le matériel incompatible.
  • Le nombre d’utilisateurs qui naviguent sur Internet ou qui relèvent leur courrier via une télévision connectée est de loin inférieur au nombre d’utilisateurs d’ordinateurs ou d’appareils mobiles.

Mais n’oubliez pas, par exemple, qu’il est possible d’installer une application depuis une clé USB. Si votre télévision tourne sous Android, un malware développé pour un smartphone Android pourrait peut-être fonctionner sur votre télévision.

En résumé, le malware dans ce cas-ci ne vise pas spécialement les télévisions connectées mais n’oubliez jamais que ce genre de sites, à l’instar du phishing en général, fonctionne sous n’importe quel système d’exploitation que vous pourriez utiliser.
Soyez vigilants !

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *