您最近购买的Android电视盒子可能充满了有害的后门。网络安全公司Human Security的一份新报告证实,流行且广泛使用的Android电视盒子中存在两个后门:Badbox和Peachpit。
在Human Security的Satori威胁情报和研究团队于2023年10月4日发布的一份报告中,有迹象表明200种不同型号的Android电视盒子可能包含恶意软件,这表明其背后有一个有组织的广告欺诈网络。
研究人员分析了七台Android电视盒子和一台平板电脑,发现它们都安装了后门。以下是经过测试的型号:
1. Q9
2. T95
3. X88
4. T95Z
5. J5-W
6. T95MAX
7. X12PLUS
8. MXQ Pro 5G
所有设备都拥有庞大且多样化的用户群,包括美国各地的学校、企业和家庭。另一个令人震惊的细节是,美国在线零售商销售的Android电视盒子中80%都含有Badbox。
值得注意的是,T95是一款众所周知的预装恶意软件的电视盒子。2023年1月,加拿大基础设施和安全系统顾问Daniel Milisic在他通过亚马逊购买的T95电视盒子上发现了恶意软件。
2023年2月,Malwarebytes研究人员确认此特定电视盒子上预装了恶意软件。然而,迄今为止,亚马逊仍在继续销售恶意T95 TV Box。
Human Security的CISO Gavin Reid表示,该网络就像“在互联网上做坏事的瑞士军刀”。加文告诉《连线》杂志,这是一次精心组织的欺诈行为。
供您参考,这些盒子使用Android开源项目(AOSP),而不是Google认证的Google TV或Android TV,例如Nvidia Shield或Chromecast。该问题是由于AOSP的开放访问造成的。
研究人员在博客文章中指出,Badbox在分发给经销商之前已预装在制造的Android TV设备上。设备插入后,恶意软件会连接到C2服务器。
此外,它还会获取一组指令,通知它必须在设备上执行的恶意活动。其中包括广告欺诈、创建虚假WhatsApp和Gmail帐户、出售家庭网络访问权限以及安装远程代码。
Badbox后门有助于在设备上安装受感染的应用程序。它修改Android操作系统的组件,强制其执行代码并访问设备上安装的应用程序。在研究过程中,Human Security发现了与受感染设备相关的不同类型的欺诈行为,包括住宅代理服务和广告欺诈,并注意到该活动背后的组织正在出售家庭网络的访问权限。
“BADBOX的传播范围和影响力是巨大的。HUMAN的Satori团队观察到全球至少74000部基于Android的手机、平板电脑和联网电视盒子显示出BADBOX感染的迹象。”
根据他们的技术报告(PDF),Human Security重点关注另一种名为PEACHPIT的恶意软件,它是Badbox的广告欺诈组件,可以在Android和iOS设备和应用程序上启动欺骗性网络流量、隐藏广告和恶意广告。
不过,Peachpit恶意软件的危害性比Badbox小。研究人员发现了39个iOS、Android和电视盒子应用程序包含 Peachpit。值得注意的是,Peachpit恶意软件可以在Android和iOS设备上运行,而Badbox仅针对Android设备。
Peachpit是39个以Android、iOS和CTV为中心的应用程序的集合,每个应用程序都包含与假SSP(供应方平台)的硬编码连接,该连接将一段JavaScript代码添加到应用程序的WebView中,以获取设备的详细信息应用程序在启动广告之前正在运行。
“PEACHPIT的Android设备感染量达到了121000台,iOS设备感染量达到了159000台。这些设备平均每天处理40亿次广告请求。没有iOS设备本身受到BADBOX后门的影响;他们仅是PEACHPIT应用程序的目标,可从许多主要应用程序市场下载。”
寻找低成本流媒体设备和电视盒子的人们通常会转向低价的制造商。然而,一次又一次的事实证明,Android电视盒子通常会感染恶意软件。
评论已关闭。