Lors d'un récent audit de cybersécurité réalisé pour un client, nous avons découvert une faille de sécurité majeure : une TV Android contenait un logiciel malveillant. Cet appareil tentait en permanence de se connecter à un serveur de commande et de contrôle (C2), dans le but d’installer une porte dérobée sur le réseau.
Grâce à ce serveur C2, les cybercriminels pouvaient infiltrer le réseau, voler des données ou même déployer un rançongiciel, capable de contourner des mesures de sécurité traditionnelles.
Il s’agit essentiellement d’une attaque de phishing, mais exécutée à distance, sans aucune intervention humaine.
Comment cela a-t-il commencé ?
Lors d'un audit de sécurité pour un client, qui n'avait pas encore souscrit à notre service de surveillance 24/7, nous avons détecté un nombre de connexions inhabituelles vers un botnet provenant d'un seul appareil sur son réseau.
Notre centre de compétences en cybersécurité (CCC) a rapidement retracé ces alertes jusqu’à une Smart TV, ce qui a été confirmé par le client.
Une analyse approfondie a révélé que de nombreux appareils de ce type étaient livrés avec des logiciels malveillants préinstallés. Dans ce cas précis, il s’agissait d’une variante de CopyCat, un malware capable d’obtenir des privilèges root et d’exécuter des commandes à distance.
Qu'avons-nous découvert ?
Notre enquête couvrant plusieurs sources (*) a révélé que le téléviseur infecté tentait de se connecter à un domaine C2 malveillant connu : ycxrl[.]com. Les appareils suivants ont été associés à des logiciels malveillants exploitant ce domaine :
- T95 (AllWinner H616)
- T95Max (AllWinner H618)
- X12-Plus (RockChip 3328)
- X88-Pro-10 (RockChip 3328)
En plus des communications C2, nous avons identifié des indicateurs de compromission (IOC) spécifiques signalant la présence de ce logiciel malveillant :
- Un répertoire nommé /data/system/Corejava
- Un fichier nommé /data/system/shared_prefs/open_preference.xml
Bien que notre système ait réussi à bloquer les connexions C2, il est essentiel de comprendre que ce type de malware est capable d’exfiltrer des données et d’exécuter des commandes à distance, ce qui en fait une menace de sécurité majeure.
Pourquoi devriez-vous vous en soucier ?
Ce cas met en évidence les risques que représentent les appareils IoT pour les réseaux d'entreprise. Les objets connectés peuvent introduire de graves vulnérabilités. Dans ce cas, la fonctionnalité SecureDNS a détecté et neutralisé la menace très tôt. Sans protection adéquate, les cybercriminels auraient pu voler des données sensibles de l’entreprise ou utiliser le réseau comme tremplin pour d’autres attaques.
Comment protéger votre réseau ?
Pour protéger votre organisation contre ce type de menaces, appliquez ces bonnes pratiques essentielles :
- Utilisez notre protection DNS : assurez-vous que les requêtes DNS suspectes sont surveillées et bloquées.
- Surveillez tous les appareils connectés : effectuez un inventaire régulier des appareils accédant à votre réseau et assurez-vous de leur fiabilité.
- Anticipez les attaques, ne les subissez pas : notre service de sécurité géré, Observe & Protect, permet de détecter et d’atténuer les menaces en temps réel, 24h/24.
- Évitez les appareils bon marché et non vérifiés : les dispositifs non certifiés ou mal pris en charge par le fabricant présentent des risques de sécurité considérables.
Conclusion
La prolifération des appareils IoT bon marché, des Smart TV aux systèmes domotiques, ouvre de nouvelles brèches de sécurité pour les cybercriminels, comme le démontre ce cas préoccupant.
» Contactez notre équipe dès aujourd'hui pour une consultation gratuite et sans engagement.
Votre Smart TV pourrait représenter un risque de sécurité