Anatel identificou malware na TV Box pirata mais vendida do Brasil
O Grupo de Trabalho TV Box, criado pela Anatel para estudar as caixinhas piratas de IPTV à venda no mercado brasileiro, já tem resultados sobre alguns modelos. Com ajuda da ABTA, associação que representa operadoras de TV por assinatura, encontrou software malicioso no HTV, aparelho campeão em vendas segundo a autarquia – por ser o mais apreendido – e que é encontrado em lojas online por cerca de R$ 1 mil.
O Tele.Síntese conversou com Wilson Wellisch, superintendente de fiscalização da Anatel. Ele deu mais detalhes das investigações. A agência, disse, acionou engenheiros e peritos da ABTA para contribuir com a engenharia reversa, depois de encontrar limites aos experimentos.
Para checar todas as funcionalidades, inclusive a reprodução de conteúdo pirateado, os servidores teriam de assinar os pacotes da HTV, o que não é permitido para realizar a investigação. Com isso, foi construído um aparato para a realização de simulações de uso real do aparelho.
“A gente teve dificuldades porque precisa do equipamento funcionando. Não basta o equipamento desconectado. Tivemos parcerias com a ABTA para fazer testes com o equipamento vivo. E partir daí verificamos as vulnerabilidades”, contou.
Isso atrasou os trabalhos. A expectativa era que o primeiro relatório ficasse pronto em agosto, mas ainda não foi finalizado. Os trabalhos do GT TV Box continuarão ainda depois do primeiro relatório, com a adição de mais produtos, afirmou o superintendente.
Porta para o desconhecido
Até o momento, a agência identificou que, ao ser ligado pela primeira vez, o TV Box pirata busca uma porta para se conectar, sem consentimento do usuário, a um servidor desconhecido. O malware embarcado recebe updates de novas portas que podem ser usadas em caso de descoberta das atuais.
A agência também detectou que dados dos usuários são capturados e enviados para os servidores, sem aval. E concluiu o que já se esperava, que a HTV retransmite conteúdos de TV por assinatura de forma ilegal, capturado no Brasil sem licença, mediante cobrança para o usuário. Esse conteúdo é capturado no país, transmitido de forma mascarada para servidores do exterior, e então devolvido aos clientes locais, tudo pela conexão IP do usuário, via aplicativos que simulam a TV paga ou OTTs de streaming de vídeo.
A Anatel descobriu que o conteúdo é capturado tanto no envio das programadoras às distribuidoras, quanto das próprias distribuidoras (as operadoras de TV paga responsável pelos assinantes, por exemplo, Sky ou Claro).
Só piora: Botnet
O malware identificado pelos servidores da Anatel é capaz de assumir o controle da TV Box, embora não o faça. Na prática, ele age por baixo dos panos, sem que o usuário perceba, utilizando do poder de processamento além do necessário para realizar atos ilegais.
O programa, diz Wellisch, conecta-se a uma botnet maliciosa que teria a capacidade de, a um comando, realizar ataques coordenados de negação de serviço – conhecidos como DDoS.
“Verificamos a possibilidade, por meio de um servidor de comando e controle, de o botnet assumir o controle do TV Box e de fazer ataques DDoS. Como há muitos desses equipamentos distribuídos, podem ser utilizados para derrubar sites, inclusive de serviços públicos”, conta.
E as criptomoedas?
No meio do ano, Wellisch disse que havia a forte suspeita de as caixinhas serem usadas para a mineração de criptomoedas sem conhecimento do usuário. Segundo ele, a Anatel ainda não chegou a realizar testes sobre isso, no entanto.
“Por enquanto, focamos na cibersegurança, mas ainda considero que a mineração é possível porque esses TV Boxes não usam toda a capacidade disponível”, reiterou.
Conhecendo melhor o funcionamento da caixinha, a Anatel pretende aperfeiçoar as estratégias de combate à pirataria, indo além da apreensão dos equipamentos não homologados.
As conclusões do GT serão ainda enviados ao GT-Ciber, o grupo de Cibersegurança da Anatel. A proposta é desvendar se há um trabalho que pode ser executado em conjunto, uma vez que os problemas identificados foram muito além do roubo de propriedade intelectual e falta de homologação do hardware.