В недавньому коментарі на Reddit користувач moeburn написав, що в інтернеті можна, з'явилася нова шкідлива програма для телевізорів Smart TV:

Моя сестра має на телевізорі з'явився вірус. ВІРУС на телевізор, чорт забирай!
У сестри LG Smart TV з вбудованим браузером, і вона примудрилася нарватися на DNS Hijacker, який пише: «Ваш комп'ютер заражений, відправте нам грошей, будь ласка, і ми це виправимо» кожен раз, коли вона намагається щось зробити з телевізором.

До посту на Reddit було докладено наступне зображення:

Ми відразу ж взялися за справу, намагаючись визначити, чи була загроза спрямована саме на телевізори з можливістю підключення до інтернету або це було випадкове зараження. Спроба відкрити URL-адресу, показаний на фото, ні до чого не призводить: IP-адреса для цього доменного імені на даний момент не визначений.

Задавши в своїй улюбленій пошуковій системі пошук цього домену, ми отримали безліч результатів. Крім хоста «ciet8jk» (ciet8jk. [Шкідливий домен] .com), на цьому ж домені значилося 27 інших хостів з одним і тим же IP-адресою.

Домен *** - browser-alert-error.com зареєстрований 17 серпня 2015 року.

Два дні потому йому було присвоєно IP-адреса:

Судячи з усього, цей шахрайський домен був онлайн всього кілька днів. Виходячи з цього, ми впевнені, що знімок з екрану телевізора зроблений не менше чотирьох місяців тому.

В цілому, в подібних атаках немає нічого нового. Ми спробували знайти сервер, що знаходиться в даний момент онлайн, щоб зрозуміти, які саме дії сторінка намагається зробити.

На жаль, нам не вдалося знайти «живу» сторінку на цьому домені, проте пошук за повідомленням зі знімка екрана дозволив знайти схожі домени, які використовуються в тому ж шахрайському проект.

Кілька прикладів:

*** sweeps-ipadair-winner2.com

*** - browser-infection-call-now.com

Останній з перерахованих доменів як і раніше онлайн, проте сервер не відповідає.
Всі згадані імена доменів блокуються Kaspersky Web Protection вже кілька місяців.

Цікаво, що всі адреси належать хмари Amazon (54.148.xx, 52.24.xx, 54.186.xx).

Незважаючи на те що для реєстрації доменів зловмисники використовували різних провайдерів, самі шкідливі сторінки вони вирішили розмістити в хмарі. Можливо, це пов'язано з тим додатковим рівнем анонімності, який забезпечує хмара, меншою вартістю хмарного хостингу в порівнянні з послугами інших провайдерів або з тим, що зловмисникам було складно оцінити обсяг трафіку і тому потрібно легко масштабується,.

Все ще марно намагаючись знайти «живу» сторінку, ми продовжували пошук частин повідомлення, відображеного на знімку екрана. Один з результатів пошукової системи привів нас до утиліти HexDecoder на сайті ddecode.com . Це веб-сторінка, яка деобфусцірует скрипти або цілі веб-сторінки. На наш подив, всі попередні результати декодування були збережені на сайті і доступні для перегляду всім бажаючим.

Серед результатів був знайдений розкодований скрипт і вихідний HTML-файл.

Скрипт перевіряє параметри URL і виводить різні номери телефону в залежності від місцезнаходження користувача.

Телефонні номери:

За умовчанням (США): 888581 ****
Франція: +3397518 ****
Австралія: +6173106 ****
Великобританія: +44113320 ****
Нова Зеландія: +646880 ****
Південна Африка: +2787550 ****

Скрипт для вибору телефонного номера, написаний на JavaScript, був завантажений на Pastebin 29 липня 2015 року. Цей варіант скрипта включає всі коментарі, присутні в екземплярі, який ми знайшли в HexDecoder. Це ще одне свідчення того, що загроза не нова.

Знайшовши таким чином відповідний зразок, ми запустили його на тестовій машині і отримали показаний нижче результат - він досить близький до того, що ми бачимо на знімку екрана SmartTV:

Сторінка завантажується в будь-якому браузері і відкриває спливаюче вікно. Наведений вище скріншот показує, що скрипт працює навіть на Windows XP. Якщо ви спробуєте закрити сторінку або спливаюче вікно, вони відкриються знову.

Ми запустили файл на LG Smart TV і отримали такий же результат. Вийти з браузера було можна, і при цьому стандартні настройки браузера і DNS не змінювалися. Вимкнення і повторне включення телевізора теж вирішувало проблему. Можливо, що в описаному на Reddit випадку було задіяно інше шкідливе ПЗ, яке змінювало налаштування браузера або мережі.

Пам'ятайте, що дзвонити за такими номерами не слід ні в якому разі! Ви можете нарватися на платний номер з похвилинною оплатою; крім того, той, хто відповість на дзвінок, може спробувати переконати вас завантажити і встановити на пристрій додаткове шкідливе ПЗ.

Таким чином, в даному випадку ми маємо справу не з новим типом шкідливого ПО, спеціально призначеним для телевізорів Smart TV, а зі звичайною загрозою, актуальною для всіх користувачів інтернету. Відомо, що від даної шахрайської схеми постраждали деякі користувачі Apple MacBook. Оскільки шкідливий код виконується в браузері, він може запускатися і на «розумних» телевізорах і навіть на смартфонах.

Кіберзлочинці часто застосовують подібні загрози в поєднанні з експлойта, що дозволяють використовувати уразливості в браузері, Flash Player або Java. У разі успіху на машину може бути додатково встановлено інше шкідливе ПЗ, а також можуть бути змінені настройки DNS на вашому комп'ютері або домашньому маршрутизаторі, що здатне привести до аналогічних наслідків.

В даному випадку подібна поведінка не спостерігалося, тому що шкідливі сторінки вже були видалені.

Пам'ятайте, що ПЗ, встановлене на вашому телевізорі, може містити уразливості! Тому важливо час від часу перевіряти актуальність програм, встановлених на вашому пристрої. Обов'язково встановлюйте всі оновлення програмного забезпечення, що випускаються для вашого Smart TV! Деякі виробники встановлюють оновлення автоматично, а на пристроях інших марок користувачі повинні самі запускати процес оновлення.

Існують шкідливі програми, здатні працювати на телевізорах Smart TV, але вони в даний момент відсутні в «дикому середовищі». Є ряд причин, за якими злочинців цікавлять в першу чергу користувачі персональних комп'ютерів і смартфонів, а не Smart TV:

• «Розумні» телевізори рідко використовуються для перегляду веб-сайтів; користувачі майже ніколи не встановлюють додатки з веб-сторінок, за винятком магазину додатків виробника телевізора - як і власники мобільних пристроїв.
• Виробники телевізорів використовують різні операційні системи: Android TV, Firefox OS, Tizen, WebOS.
• Трапляється, що різні серії пристроїв одного виробника працюють під управлінням різних операційних систем, що призводить до несумісності шкідливого ПЗ.
• Користувачів, які переглядають веб-сайти або читають пошту на екрані телевізора, незрівнянно менше, ніж тих, хто робить це на комп'ютерах і мобільних пристроях.

Слід пам'ятати, однак, що додаток можна встановити з USB-флешки. Якщо ваш телевізор працює під управлінням Android, то шкідливий додаток для Android-смартфонів, потенційно може працювати і на вашому телевізорі.

Підведемо підсумки. В даному випадку ми маємо справу не з шкідливим ПЗ, спеціально призначеним для телевізорів Smart TV, проте слід пам'ятати, що подібні веб-сайти, як і будь-який фішинг, працюватимуть на будь-якій платформі, якою ви користуєтеся.
Будьте пильні!