您最近购买的Android电视盒子可能充满了有害的后门。网络安全公司Human Security的一份新报告证实，流行且广泛使用的Android电视盒子中存在两个后门：Badbox和Peachpit。

在Human Security的Satori威胁情报和研究团队于2023年10月4日发布的一份报告中，有迹象表明200种不同型号的Android电视盒子可能包含恶意软件，这表明其背后有一个有组织的广告欺诈网络。

研究人员分析了七台Android电视盒子和一台平板电脑，发现它们都安装了后门。以下是经过测试的型号：

1. Q9
2. T95
3. X88
4. T95Z
5. J5-W
6. T95MAX
7. X12PLUS
8. MXQ Pro 5G

所有设备都拥有庞大且多样化的用户群，包括美国各地的学校、企业和家庭。另一个令人震惊的细节是，美国在线零售商销售的Android电视盒子中80%都含有Badbox。

值得注意的是，T95是一款众所周知的预装恶意软件的电视盒子。2023年1月，加拿大基础设施和安全系统顾问Daniel Milisic在他通过亚马逊购买的T95电视盒子上发现了恶意软件。

2023年2月，Malwarebytes研究人员确认此特定电视盒子上预装了恶意软件。然而，迄今为止，亚马逊仍在继续销售恶意T95 TV Box。

Human Security的CISO Gavin Reid表示，该网络就像“在互联网上做坏事的瑞士军刀”。加文告诉《连线》杂志，这是一次精心组织的欺诈行为。

供您参考，这些盒子使用Android开源项目(AOSP)，而不是Google认证的Google TV或Android TV，例如Nvidia Shield或Chromecast。该问题是由于AOSP的开放访问造成的。

研究人员在博客文章中指出，Badbox在分发给经销商之前已预装在制造的Android TV设备上。设备插入后，恶意软件会连接到C2服务器。

此外，它还会获取一组指令，通知它必须在设备上执行的恶意活动。其中包括广告欺诈、创建虚假WhatsApp和Gmail帐户、出售家庭网络访问权限以及安装远程代码。

Badbox后门有助于在设备上安装受感染的应用程序。它修改Android操作系统的组件，强制其执行代码并访问设备上安装的应用程序。在研究过程中，Human Security发现了与受感染设备相关的不同类型的欺诈行为，包括住宅代理服务和广告欺诈，并注意到该活动背后的组织正在出售家庭网络的访问权限。

“BADBOX的传播范围和影响力是巨大的。HUMAN的Satori团队观察到全球至少74000部基于Android的手机、平板电脑和联网电视盒子显示出BADBOX感染的迹象。”

根据他们的技术报告(PDF)，Human Security重点关注另一种名为PEACHPIT的恶意软件，它是Badbox的广告欺诈组件，可以在Android和iOS设备和应用程序上启动欺骗性网络流量、隐藏广告和恶意广告。

不过，Peachpit恶意软件的危害性比Badbox小。研究人员发现了39个iOS、Android和电视盒子应用程序包含 Peachpit。值得注意的是，Peachpit恶意软件可以在Android和iOS设备上运行，而Badbox仅针对Android设备。

Peachpit是39个以Android、iOS和CTV为中心的应用程序的集合，每个应用程序都包含与假SSP（供应方平台）的硬编码连接，该连接将一段JavaScript代码添加到应用程序的WebView中，以获取设备的详细信息应用程序在启动广告之前正在运行。

“PEACHPIT的Android设备感染量达到了121000台，iOS设备感染量达到了159000台。这些设备平均每天处理40亿次广告请求。没有iOS设备本身受到BADBOX后门的影响；他们仅是PEACHPIT应用程序的目标，可从许多主要应用程序市场下载。”

寻找低成本流媒体设备和电视盒子的人们通常会转向低价的制造商。然而，一次又一次的事实证明，Android电视盒子通常会感染恶意软件。