Attenzione: alcuni proiettori Android hanno malware preinstallato
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 13/04/2026, 09:21
- Pubblicato: 12/04/2026, 23:18
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Stai leggendo un articolo su Android
Per tutti gli articoli e le guide che riguardano la piattaforma mobile di Google, sfoglia il "Canale Android".
Un ricercatore di sicurezza acquista un proiettore Android economico da un marketplace online. Ma poi ne smonta il firmware, e ci trova dentro un malware preinstallato in fabbrica. Non un'app sospetta scaricata per errore, non un adware finito lì per negligenza, ma un trojan ad accesso remoto pienamente funzionante, piazzato nel dispositivo prima ancora che qualcuno lo sigillasse nella scatola. Il malware comunica silenziosamente con un server di comando e controllo in Cina. Dispositivi identici si vendono a migliaia su Amazon, AliExpress ed eBay.
L'analista ha citato esplicitamente alcuni dei marchi coinvolti: Hotack, Huyukang, Magcubic, Nonete. Ma potrebbero essere solo alcuni di una lista più lunga: l'esperto sostiene infatti che, potenzialmente, altri dispositivi basati su chipset Allwinner H713 / sun50iw12p1 potrebbero essere compromessi.
StoreOS e SilentSDK: anatomia di un'infezione di fabbrica
Il malware scoperto nel firmware si articola in due componenti. Il primo si chiama StoreOS: un dropper mascherato da componente legittimo del sistema operativo. Il nome è scelto con cura per confondersi con i processi di sistema Android: chi andrebbe a sospettare di un servizio che sembra far parte dello store integrato? Il suo compito è garantire la persistenza e scaricare o attivare il secondo componente.
Quel secondo componente è SilentSDK, un RAT (Remote Access Tool) vero e proprio. Una volta attivo, stabilisce una connessione con un server di comando e controllo (C2) localizzato in Cina. Da quel momento il dispositivo è sotto controllo remoto: può esfiltrare dati, ricevere istruzioni, scaricare ulteriori payload. Il tutto senza che l'utente veda alcuna notifica, alcun segnale d'allarme sullo schermo.
L'inganno nel codice: offuscamento per inversione di byte
Per sfuggire ai controlli automatici e ostacolare l'analisi dei ricercatori, il malware utilizza una tecnica di offuscamento basata sull'inversione dei byte. Il principio è semplice: i dati - stringhe di testo, URL del server C2, identificatori - vengono memorizzati in ordine invertito nel codice. Un analista che esamini il firmware con strumenti standard potrebbe non riconoscere le stringhe significative, perché appaiono come sequenze apparentemente casuali. Solo invertendone l'ordine si rivela il contenuto reale.
Non è crittografia sofisticata. È un trucco rudimentale, eppure sufficiente a superare scansioni superficiali e a rallentare l'analisi manuale del firmware. Che una tecnica così elementare basti a passare inosservata dice tutto sul livello di controllo qualità nella filiera di questi dispositivi, o meglio sulla sua assenza totale.
Il problema della filiera: chi controlla cosa finisce nel firmware?
Il cuore della questione non è solo tecnico. I proiettori Android economici seguono una catena produttiva opaca: il produttore dell'hardware spesso non è lo stesso che assembla il firmware, chi assembla il firmware può integrare componenti software di terze parti senza verificarli, e il venditore sulla piattaforma di e-commerce non ha né le competenze né l'incentivo per ispezionare ciò che gira a livello di sistema operativo sul dispositivo che rivende.
Il risultato è un ecosistema dove nessuno si assume la responsabilità della sicurezza del software preinstallato. Amazon, AliExpress ed eBay fungono da vetrine, ma non eseguono audit del firmware dei prodotti che ospitano nei loro cataloghi. L'utente finale è l'ultimo anello della catena - e il più esposto.
Cosa rischia chi ha uno di questi dispositivi in casa
Un proiettore Android connesso alla rete Wi-Fi domestica con un RAT attivo è a tutti gli effetti un punto di accesso non autorizzato alla rete locale. SilentSDK può raccogliere credenziali, monitorare il traffico, fungere da trampolino per raggiungere altri dispositivi sulla stessa rete. Se il proiettore condivide il router con uno smartphone, un PC di lavoro o un NAS domestico, la superficie d'attacco si estende ben oltre il proiettore stesso.
L'aspetto più insidioso: trattandosi di malware preinstallato nel firmware, un ripristino alle impostazioni di fabbrica non risolve nulla. Il malware è lo stato di fabbrica. In assenza di un firmware pulito fornito dal produttore - ipotesi remota, in questo segmento di mercato - l'unica mitigazione reale è disconnettere il dispositivo dalla rete o smettere di usarlo.
Un segnale che non si può ignorare
Questa scoperta si inserisce in un quadro ormai consolidato. Negli ultimi anni diversi ricercatori e aziende di sicurezza hanno documentato casi di malware preinstallato su dispositivi Android economici - TV box, tablet di fascia bassissima, set-top box - venduti attraverso i principali canali di e-commerce. Il pattern si ripete: hardware a basso costo, firmware di origine incerta, malware integrato nella catena di produzione prima della vendita.
La lezione per l'utente domestico è amara ma senza sfumature. Quando un dispositivo Android costa una frazione del prezzo di mercato, il risparmio potrebbe avere un costo nascosto - misurabile in dati personali spediti a un server dall'altra parte del mondo. La prossima volta che un proiettore da 50 euro su Amazon sembra un affare irresistibile, vale la pena chiedersi chi altro potrebbe godersi lo spettacolo.
Fonti: reddit.com, github.com
