Incidentes

¿Programas maliciosos en los Smart TVs?

En un comentario publicado esta semana en Reddit, el usuario conocido como “moeburn” planteó la posibilidad de que estén circulando programas maliciosos para los Smart TVs:

Mi hermana encontró un virus en su TV. UN VIRUS EN SU MALDITA TV.
Es un Smart TV LG que trae incorporado un navegador de Internet, y de alguna manera se infectó con un DNS Hijacker que señalaba: “Tu TV está infectada. Por favor envíanos dinero para repararla” cada vez que ella intentaba hacer cualquier cosa en TV.iff.

La publicación de Reddit incluía esta imagen:

¿Programas maliciosos en los Smart TVs?

Inmediatamente nos pusimos manos a la obra para averiguar si esta amenaza estaba atacando específicamente a TVs conectadas o si se trataba de una infección accidental. No es posible conectarse a la página web mencionada en la URL de la foto: el nombre del dominio no encuentra una IP por el momento.

Utilizamos nuestro motor de búsquedas favorito y encontramos muchos resultados mientras buscábamos el dominio. Además del host “ciet8jk(ciet8jk.[maliciousdomain].com), otros 27 hosts estaban asignados a ese nombre de dominio y apuntaban a la misma dirección IP.

El dominio ***-browser-alert-error.com se registró el 17 de agosto de 2015.

Dos días después, se le asignó una dirección IP:

¿Programas maliciosos en los Smart TVs?

Al parecer, la estafa había estado circulando apenas unos días, y estamos seguros que la imagen de la TV data de al menos cuatro meses atrás.

Este tipo de ataques no es nuevo, de manera que empezamos a buscar un servidor que esté funcionando para ver qué es exactamente lo que hace esta página.

Por desgracia, no hemos podido encontrar una página que funcione en esa fuente, pero mientras buscábamos el mensaje de alerta que aparece en la imagen, encontramos dominios similares que se usaban para la misma estafa.

Estos son algunos ejemplos:

***sweeps-ipadair-winner2.com

¿Programas maliciosos en los Smart TVs?

***-browser-infection-call-now.com

¿Programas maliciosos en los Smart TVs?

El último dominio que aparece en la lista sigue funcionando pero no hay respuesta desde el servidor.
Kaspersky Web Protection bloquea todos los nombres de dominios mencionados desde hace varios meses.

Curiosamente, todas las IPs pertenecen a la nube de Amazon (54.148.x.x, 52.24.x.x, 54.186.x.x).

Aunque utilizaban diferentes proveedores para registrar el dominio, decidieron alojar las páginas maliciosas en la nube. Esto podría deberse a que ofrece otra capa de anonimato, a que es más barato que otros proveedores o a que no estaban seguros sobre el volumen del tráfico y necesitaban algo que pudiesen ampliar.

Sin poder encontrar una página que funcione, seguimos buscando partes del mensaje de alerta y un resultado nos llevó a HexDecoder de ddecode.com. Se trata de una página web que descifra scripts o páginas web completas. Para sorpresa nuestra, todas las anteriores decodificaciones estaban guardadas y disponibles al público.

Esto nos condujo a un script descodificado y al archivo HTML original.

¿Programas maliciosos en los Smart TVs?

El script verifica los parámetros URL y muestra diferentes números telefónicos basados en la ubicación del usuario.

Números telefónicos:

POR DEFECTO (EE.UU.)                : 888581****
Francia                                             : +3397518****
Australia                                           : +6173106****
Reino Unido                                     : +44113320****
Nueva Zelanda                                : +646880****
Sudáfrica                                          : +2787550****

El JavaScript que selecciona el número de teléfono se envió a Pastebin el 29 de julio de 2015 e incluye todos los comentarios que también se encontraban en la muestra que obtuvimos de HexDecoder. Este es otro indicador de que no se trata de una amenaza nueva.

Sin contar con la muestra adecuada, recurrimos a una máquina de pruebas y obtuvimos este resultado, que es bastante cercano a lo que se puede observar en la imagen del Smart TV:

¿Programas maliciosos en los Smart TVs?

La página se carga en cualquier navegador y muestra un diálogo emergente. Como se puede ver arriba, incluso funciona en Windows XP. Si se intenta cerrar el diálogo o la ventana, vuelve a aparecer.

¿Programas maliciosos en los Smart TVs?

También ejecutamos el archivo en un Smart TV LG y obtuvimos el mismo resultado. Fue posible elegir el navegador, pero no se cambió ningún navegador ni los ajustes DNS. El problema se resolvió apagando y volviendo a encender el aparato. En el caso publicado en Reddit, es posible que otro programa malicioso lograra cambiar el navegador o los ajustes de red.

¡Recuerda que nunca debes llamar a estos números! Te pueden cobrar la llamada por minuto o alguien al otro lado de la línea puede pedirte que descargues e instales otros programas maliciosos en tu aparato.

Entonces, en este caso, no se trata de un nuevo tipo de programa malicioso que ataque específicamente a Smart TVs, sino de una amenaza común entre los usuarios de Internet. También hay denuncias que esta estafa ha afectado a usuarios de Apple MacBooks, y puesto que se ejecuta en el navegador, puede ejecutarse en Smart TVs e incluso en smartphones.

Este tipo de amenazas suelen estar combinadas con exploits que atacan vulnerabilidades en el navegador, en Flash Player o en Java. Si logran su objetivo, pueden instalar otros programas maliciosos en el equipo o cambiar los ajustes DNS en tu sistema o router doméstico, lo que puede generar síntomas parecidos.

En este caso no llegamos a observar este comportamiento, ya que las páginas maliciosas ya se habían eliminado.
¡Recuerda que el software de tu TV puede tener vulnerabilidades! Por eso es importante que verifiques si tu dispositivo está debidamente actualizado. ¡Asegúrate de que las últimas actualizaciones estén instaladas en tu Smart TV! Algunos fabricantes aplican actualizaciones automáticas, mientras que otros le dejan la decisión de actualización manual al usuario.

Hay programas maliciosos que funcionan en Smart TVs, pero no están circulando en Internet por el momento. Hay varias razones por las que los ciberdelincuentes se enfocan en los usuarios de PCs y de smartphones en lugar de los de Smart TVs:

  • Los Smart TVs no son muy usados para navegar en Internet y sus usuarios rara vez instalan aplicaciones desde páginas web que no sean de la tienda de aplicaciones del fabricante, al contrario de lo que sucede con los dispositivos móviles.
  • Los fabricantes usan diferentes sistemas operativos: Android TV, Firefox OS, Tizen, WebOS.
  • El hardware y el sistema operativo pueden incluso cambiar de una serie a otra, lo que ocasiona la incompatibilidad de los programas maliciosos.
  • Existen mucho menos usuarios que navegan en Internet o que leen su correo electrónico en su TV en comparación a los que hacen esto en sus PCs o dispositivos móviles.

Pero recuerda, por ejemplo, que es posible instalar una aplicación desde un dispositivo USB de memoria. Si tu TV funciona con Android, una aplicación maliciosa diseñada para un smartphone Android podría funcionar en tu TV.

En pocas palabras, este caso no se trata de un programa malicioso que ataque específicamente a Smart TVs, pero hay que estar alertas sobre estos sitios web que, como suele suceder con el phishing, funcionan en cualquier sistema operativo que uses.
¡Mantén los ojos abiertos!

¿Programas maliciosos en los Smart TVs?

Comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Cancel

  1. Julia Latacela

    si tv tiene conectividad wifi y tiene anfroid, puedo instalarle el kis?

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada