当你购买电视流媒体盒时,有些事情是你不会想到它会做的。它不应该偷偷植入恶意软件,也不应该一开机就开始与中国的服务器通信。它绝对不应该充当有组织犯罪计划中的一个节点,通过欺诈赚取数百万美元。然而,对于成千上万拥有廉价Android电视设备的不明真相者来说,这就是现实。
今年 1 月,安全研究人员丹尼尔-米利西奇(Daniel Milisic)发现,一款名为 T95 的廉价Android电视流媒体盒子在开箱后就感染了恶意软件,其他多名研究人员也证实了这一发现。但这只是冰山一角。本周,网络安全公司 Human Security (人类安全)披露了有关受感染设备范围的新细节,以及与流媒体盒子有关的隐藏的、相互关联的欺诈计划网络。
人类安全公司的研究人员发现七台Android电视盒和一台平板电脑安装了后门,他们还发现有 200 种不同型号的Android设备可能受到影响。这些设备遍布美国的家庭、企业和学校。与此同时,人类安全公司表示,它还查处了与该计划有关的广告欺诈行为,这很可能有助于支付该行动的费用。
人类安全公司的 CISO 加文-里德(Gavin Reid)说:"他们就像一把在互联网上干坏事的瑞士军刀。这是一种真正的分布式欺诈方式。"里德说,公司已经与执法机构分享了可能制造这些设备的设施的详细信息。
人类安全公司的研究分为两个领域: Badbox,涉及被入侵的Android设备以及它们参与欺诈和网络犯罪的方式。第二个领域被称为 Peachpit,是一个相关的广告欺诈行动,涉及至少 39 个Android和 iOS 应用程序。Google表示,在人类安全公司的研究之后,它已经删除了这些应用程序,而苹果则表示,它已经在向其报告的几个应用程序中发现了问题。
首先是 Badbox。廉价的Android流媒体盒通常售价不到 50 美元,在网上和实体店有售。这些机顶盒通常没有品牌或以不同的名称出售,部分掩盖了其来源。人类安全公司在其报告中称,2022 年下半年,其研究人员发现了一个Android应用程序,该应用程序似乎与不真实的流量相连,并连接到 flyermobi.com 域名。米利西奇在今年 1 月发布关于 T95 Android盒子的初步发现时,研究也指向了 flyermobi 域名。人类公司的团队购买了这个盒子和其他多个盒子,并开始深入研究。
研究人员总共确认了八款安装了后门的设备--七款电视盒、T95、T95Z、T95MAX、X88、Q9、X12PLUS 和 MXQ Pro 5G,以及一款平板电脑 J5-W。(最近几个月,其他安全研究人员也发现了其中一些问题)。该公司的报告由数据科学家玛丽恩-哈比比(Marion Habiby)担任主要作者,报告称人类安全公司在全球发现了至少 74,000 台显示 Badbox 感染迹象的Android设备,其中包括美国学校中的一些设备。
这些电视设备是在中国制造的。在它们到达转售商手中之前的某个地方,研究人员并不清楚在哪里添加了固件后门。这个后门基于安全公司卡巴斯基在2016年首次发现的Triada恶意软件,它修改了Android操作系统的一个元素,允许自己访问设备上安装的应用程序。然后,它就会打电话回家。里德说:"在用户不知情的情况下,当你把这个东西插上电源后,它就会进入中国的一个指挥和控制(C2)系统,下载指令集,然后开始做一些坏事。"
人类安全公司追踪了与被入侵设备有关的多种类型的欺诈行为。其中包括广告欺诈;住宅代理服务,即幕后团伙出售家庭网络访问权;利用连接创建虚假的 Gmail 和 WhatsApp 账户;以及远程代码安装。该公司的报告称,幕后黑手在商业上出售住宅网络的访问权限,他们声称可以访问 1000 多万个家庭 IP 地址和 700 多万个移动 IP 地址。
这些发现与其他研究人员和正在进行的调查相吻合。安全公司趋势科技(Trend Micro)的高级威胁研究员费奥多尔-亚罗奇金(Fyodor Yarochkin)说,该公司已经发现有两个中国威胁组织使用了被后门的Android设备,一个是它深入研究过的,另一个是人类安全公司调查过的。"设备的感染情况非常相似,"Yarochkin 说。
趋势科技在中国为它调查的那个组织找到了一家"前端公司"。他说:"他们声称,他们在全球有超过 2000 万台设备受到感染,任何时候都有多达 200 万台设备在线。根据趋势科技的网络数据,"Yarochkin 认为这些数字是可信的。"在欧洲的某个博物馆里甚至都有受影响的一台平板电脑,相信可能有成片的Android系统受到了影响,包括汽车里的系统,他们很容易渗透到供应链中,而对于制造商来说,这确实很难察觉。"
还有人类安全公司所说的 Peachpit,这是一种基于应用程序的欺诈行为,既出现在电视盒子上,也出现在Android手机和 iPhone 上。该公司发现有 39 个Android、iOS 和电视盒子应用程序涉及其中。该公司的安全研究员若昂-桑托斯(Joao Santos)说:"这些都是基于模板的应用程序,质量并不高。"
这些应用程序实施了一系列欺诈行为,包括隐藏广告、欺骗网络流量和恶意广告。研究称,虽然 Peachpit 的幕后黑手似乎与 Badbox 的幕后黑手不同,但他们很可能以某种方式合作。桑托斯说:"他们有一个负责广告欺诈的 SDK,我们发现这个 SDK 的一个版本与 Badbox 上投放的模块名称相匹配,"他指的是一个软件开发工具包。"这是我们发现的另一层联系。"
人类安全公司的研究称,涉案广告每天发出 40 亿次广告请求,12.1 万台Android设备和 15.9 万台 iOS 设备受到影响。据研究人员计算,Android 应用程序的下载总量达到了 1500 万次。根据公司掌握的数据(由于广告行业的复杂性,这些数据并不全面),幕后黑手仅在一个月内就能轻松赚取 200 万美元。
Google发言人埃德-费尔南德斯(Ed Fernandez)证实,"人类安全"公司报告的 20 个Android应用程序已从 Play Store 下架。费尔南德斯说:"被发现感染Badbox的非品牌设备都不是经过Play Protect认证的Android设备,"他指的是Google针对Android设备的安全测试系统。"如果设备没有通过 Play Protect 认证,Google就没有安全和兼容性测试结果记录。"该公司有一份经过认证的 Android TV 合作伙伴名单。苹果发言人 Archelle Thelemaque 表示,苹果发现 Human 报告的应用程序中有 5 款违反了苹果的指导原则,并给了开发者 14 天时间让他们遵守规则。截至发稿时,其中四款已经做到了这一点。
里德说,在 2022 年底和今年上半年,人类安全公司对 Badbox 和 Peachpit 的广告欺诈行为采取了行动。根据该公司提供的数据,目前来自这些计划的欺诈性广告请求数量已经完全下降。但是,攻击者实时适应了这种干扰。桑托斯说,刚开始部署反制措施时,那些幕后黑手先是发送更新来混淆视听。他说,随后,Badbox 的幕后黑手摧毁了为固件后门提供动力的 C2 服务器。
虽然攻击者的行动已经放缓,但这些盒子仍在人们的家中和网络上。除非有人具备技术技能,否则恶意软件很难被清除。"你可以把这些'Badbox'看作是一种潜伏细胞。它们就在那里等待指令集,"里德说。最后,对于购买电视流媒体盒的人来说,建议购买品牌设备,因为制造商是明确的,值得信赖的。因为"朋友不会让朋友把奇怪的物联网设备接入他们的家庭网络"。
阅读安全报告全文:
https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf