Budite oprezni: Jeftini Android box uređaji stižu sa unapred instaliranim virusima

Kada kupite TV uređaj za streaming, postoje određene stvari koje ne biste očekivali od njega. Ne bi trebalo da potajno bude ispunjen zlonamernim softverom ili da započne komunikaciju sa serverima u Kini kada se uključi. Definitivno ne bi trebalo da deluje kao središte u šemi organizovanog kriminala koja prevarom zarađuje milione dolara. Međutim, to je bila stvarnost za hiljade neupućenih ljudi koji poseduju jeftine Android TV uređaje.

U januaru je bezbednosni istraživač Daniel Milisic otkrio da je jeftini Android TV streaming box, nazvan T95, zaražen zlonamernim softverom čim ga je izvadio iz kutije, a brojni drugi istraživači potvrdili su nalaze. Ali to je bio samo vrh sante leda. Prošle nedelje kompanija za sajber bezbednost Human Security otkriva nove detalje o opsegu zaraženih uređaja i skrivenoj, međusobno povezanoj mreži prevara povezanih sa streaming boxovima.

Istraživači za bezbednost pronašli su sedam Android TV boxova i jedan tablet sa instaliranim backdoorom, a videli su i naznake 200 različitih modela Android uređaja koji bi mogli da budu pogođeni, prema izveštaju podeljenom ekskluzivno za WIRED. Uređaji se nalaze u domovima, kompanijama i školama širom sveta.

Istraživanje Human Securityja podeljeno je u dva segmenta: Badbox, koji uključuje kompromitovane Android uređaje i načine na koje su uključeni u prevare i sajber kriminal. A druga, nazvana Peachpit, povezana je operacija prevare s oglasima koja uključuje najmanje 39 Android i iOS aplikacija. Google kaže da je uklonio aplikacije nakon istraživanja Human Securityja, dok Apple kaže da je pronašao probleme u nekoliko aplikacija koje su mu prijavljene.

Prvo, Badbox. Jeftini Android uređaji za streaming, koji obično koštaju manje od 50 dolara, prodaju se na internetu i u prodavnicama. Ovi set-top boxovi često nisu označeni ili se prodaju pod drugim imenima, delimično prikrivajući njihov izvor. U drugoj polovini 2022. Human Security navodi u svom izveštaju da su njegovi istraživači uočili Android aplikaciju za koju je izgledalo da je povezana s neautentičnim saobraćajem i povezana s domenom flyermobi.com. Kada je tim u januaru objavio svoja početna otkrića o T95 Android boxu, istraživanje je takođe ukazalo na domen flyermobi.com.

Istraživači su ukupno potvrdili osam uređaja sa instaliranim backdoor virusom – sedam TV boxova, T95, T95Z, T95MAX, X88, Q9, X12PLUS i MXQ Pro 5G i tablet J5-W. (Neke od njih identifikovali su i drugi bezbednosni istraživači koji su proučavali problem poslednjih meseci). Izveštaj kompanije, čiji je glavni autor naučnica Marion Habibi, kaže da je Human Security uočio najmanje 74.000 Android uređaja koji pokazuju znakove infekcije Badboxom širom sveta – uključujući neke u školama.

Pred kraj 2022. i u prvom delu ove godine, kaže Reid, Human Security je preduzeo mere protiv elemenata reklamne prevare Badboxa i Peachpita. Prema podacima koje je podelila kompanija, količina lažnih zahteva za oglase iz šema koje se sada odvijaju potpuno je pala. Ali napadači su se prilagodili problemu u roku od nekoliko dana. Santos kaže kada su protivmere prvi put uvedene – oni koji stoje iza šema počeli su sa slanjem ažuriranja kako bi prikrili ono što rade. Zatim su, kaže, oni koji stoje iza Badboxa srušili C2 servere koji su pokretali backdoor firmwarea.