В вашей TV-приставке на Android TV может быть опасный бэкдор

Новое исследование показало, что некоторые потоковые устройства и десятки приложений для Android и iOS тайно используются для мошенничества и других киберпреступлений.

Когда вы покупаете приставку для потокового вещания, есть определенные вещи, которых вы от нее не ожидали бы. Она не должна быть тайно заражена вредоносным ПО или начинать взаимодействовать с серверами в Китае после включения. Она определенно не должна выступать в качестве посредника в схеме организованной преступности, зарабатывающей миллионы долларов мошенничеством. Однако это стало реальностью для тысяч неосведомленных людей, владеющих дешевыми устройствами Android TV.

В январе исследователь безопасности Дэниел Милисич обнаружил, что дешевая приставка для потоковой передачи Android TV под названием T95 была заражена вредоносным ПО прямо из коробки, и множество других исследователей подтвердили эти выводы. Но это была лишь верхушка айсберга. Сегодня компания по кибербезопасности Human Security раскрывает новые подробности о масштабах зараженных устройств и скрытой взаимосвязанной сети мошеннических схем, связанных с потоковыми ящиками.

Исследователи Human Security обнаружили семь Android-телевизоров и один планшет с установленными бэкдорами, и они увидели признаки 200 различных моделей Android-устройств, которые могут быть затронуты, согласно отчету, опубликованному эксклюзивно WIRED. Эти устройства установлены в домах, на предприятиях и в школах по всей территории США. Между тем, Human Security заявляет, что она также пресекла рекламное мошенничество, связанное со схемой, которое, вероятно, помогло оплатить операцию.

“Они как швейцарский армейский нож для совершения плохих поступков в Интернете”, - говорит Гэвин Рид, CISO в Human Security, возглавляющий группу по анализу угроз Satori в компании. “Это действительно распределенный способ совершения мошенничества”. Рид говорит, что компания поделилась подробностями о предприятиях, где могли быть изготовлены устройства, с правоохранительными органами.

Исследования Human Security разделены на две области: Badbox, которая касается скомпрометированных устройств Android и способов их вовлечения в мошенничество и киберпреступность. А вторая, получившая название Peachpit, связана с мошенничеством с рекламой, в котором задействованы по меньшей мере 39 приложений для Android и iOS. Google заявляет, что удалила приложения после исследования Human Security, в то время как Apple заявляет, что обнаружила проблемы в нескольких приложениях, о которых ей сообщили.

Во-первых, Бэдбокс. Дешевые стриминговые приставки для Android, обычно стоящие менее 50 долларов, продаются онлайн и в обычных магазинах. Эти телевизионные приставки часто не имеют брендов или продаются под другими названиями, что частично скрывает их источник. Во второй половине 2022 года, говорится в отчете Human Security, исследователи обнаружили приложение для Android, которое, по-видимому, было связано с недостоверным трафиком и подключено к домену flyermobi.com . Когда Милишич опубликовал свои первоначальные выводы о Android box T95 в январе, исследование также указывало на домен flyermobi. Команда Human приобрела эту коробку и множество других и начала погружаться в нее.

В общей сложности исследователи подтвердили наличие восьми устройств с установленными бэкдорами — семь ТВ-боксов, T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G, а также планшет J5-W. (некоторые из них также были идентифицированы другими исследователями безопасности, изучавшими проблему в последние месяцы). В отчете компании, ведущим автором которого является специалист по обработке данных Марион Хабиби, говорится, что служба безопасности человека обнаружила по меньшей мере 74 000 устройств Android с признаками заражения Badbox по всему миру, в том числе некоторые в школах по всей территории США.

Телевизионные устройства производятся в Китае. Где—то до того, как они попадут в руки реселлеров — исследователи точно не знают, где именно, - к ним добавляется бэкдор встроенного ПО. Этот бэкдор, основанный на вредоносной программе Triada, впервые обнаруженной Лабораторией Kaspersky в 2016 году, изменяет один элемент операционной системы Android, позволяя себе получать доступ к приложениям, установленным на устройствах. Затем он звонит домой. “Без ведома пользователя, когда вы подключаете эту штуку, она отправляется в центр управления (C2) в Китае, загружает набор инструкций и начинает делать кучу плохих вещей”, - говорит Рид.

Служба безопасности человека отслеживала многочисленные виды мошенничества, связанные со скомпрометированными устройствами. Это включает в себя мошенничество с рекламой; услуги прокси-серверов, где группа, стоящая за схемой, продает доступ к вашей домашней сети; создание поддельных учетных записей Gmail и WhatsApp с использованием подключений; и удаленную установку кода. Те, кто стоял за этой схемой, продавали доступ к жилым сетям на коммерческой основе, говорится в отчете компании, утверждая, что имеют доступ к более чем 10 миллионам домашних IP-адресов и 7 миллионам мобильных IP-адресов.

Полученные результаты совпадают с результатами других исследователей и продолжающимися расследованиями. Федор Ярочкин, старший исследователь угроз в охранной фирме Trend Micro, говорит, что компания столкнулась с двумя китайскими группами угроз, которые использовали бэкдорные устройства Android — одну из них она тщательно исследовала, на другую обращала внимание Human Security. “Заражение устройств довольно похоже”, - говорит Ярочкин.

По словам Ярочкина, Trend Micro нашла “передовую компанию” для группы, которую она исследовала в Китае. “Они утверждали, что у них более 20 миллионов зараженных устройств по всему миру, при этом до 2 миллионов устройств находятся в Сети в любой момент времени”, - говорит он. Основываясь на сетевых данных Trend Micro, Ярочкин считает эти цифры заслуживающими доверия. “В одном из музеев где-то в Европе был планшет”, - говорит Ярочкин, добавляя, что, по его мнению, возможно, что это повлияло на многие системы Android, в том числе в автомобилях. “Им легко проникнуть в цепочку поставок”, - говорит он. “И для производителей это действительно трудно обнаружить”.

Затем есть то, что Human Security называет Peachpit. По словам Рида, это элемент мошенничества на основе приложений, который присутствует как на телевизорах, так и на телефонах Android и iPhone. Компания выявила 39 приложений для Android, iOS и TV box, которые были задействованы. “Это приложения, основанные на шаблонах, не очень высокого качества”, - говорит Жоао Сантос, исследователь безопасности в компании. Были включены приложения о развитии пресса с шестью кубиками и регистрации количества выпиваемой человеком воды.

Приложения выполняли целый ряд мошеннических действий, включая скрытую рекламу, поддельный веб-трафик и недобросовестную рекламу. Исследование показывает, что, хотя те, кто стоит за Peachpit, внешне отличаются от тех, кто стоит за Badbox, вполне вероятно, что они каким-то образом работают вместе. “У них есть этот SDK, который занимался мошенничеством с рекламой, и мы нашли версию этого SDK, которая соответствует названию модуля, который был удален из Badbox”, - говорит Сантос, имея в виду набор для разработки программного обеспечения. “Это был еще один уровень связи, который мы обнаружили”.

Исследование Human Security показало, что задействованная реклама получала 4 миллиарда рекламных запросов в день, при этом пострадали 121 000 устройств Android и 159 000 устройств iOS. По подсчетам исследователей, в общей сложности было загружено 15 миллионов приложений для Android. (Бэкдор Badbox был обнаружен только на Android, но не на каких-либо устройствах iOS.) Рид говорит, что, основываясь на имеющихся у компании данных, которые не являются полной картиной из-за сложности рекламной индустрии, те, кто стоит за этой схемой, могли бы легко заработать 2 миллиона долларов только за один месяц.

Представитель Google Эд Фернандес подтверждает, что 20 приложений для Android, о которых сообщила Human Security, были удалены из Play Store. “Устройства сторонних производителей, обнаруженные зараженными Badbox, не были устройствами Android, сертифицированными Play Protect”, - говорит Фернандес, ссылаясь на систему тестирования безопасности Google для устройств Android. “Если устройство не сертифицировано Play Protect, у Google нет записей о результатах тестов безопасности и совместимости”. У компании есть список сертифицированных партнеров Android TV. Представитель Apple Аршель Телемак говорит, что компания обнаружила, что пять приложений, о которых сообщил Human, нарушают ее рекомендации, и разработчикам было дано 14 дней, чтобы заставить их следовать правилам. Четверо из них сделали это на момент публикации.

По словам Рида, ближе к концу 2022 года и в первой половине этого года Human Security приняла меры против элементов рекламного мошенничества в Badbox и Peachpit. Согласно данным, которыми поделилась компания, количество запросов на мошенническую рекламу от действующих в настоящее время схем полностью сократилось. Но злоумышленники адаптировались к сбоям в режиме реального времени. Сантос говорит, что когда контрмеры были впервые применены, те, кто стоял за схемами, начали с рассылки обновлений, чтобы запутать то, что они делали. Затем, по его словам, те, кто стоит за Badbox, отключили серверы C2, питающие бэкдор встроенного ПО.

Хотя действия злоумышленников были замедлены, ящики все еще находятся в домах людей и в их сетях. И если у кого-то нет технических навыков, вредоносную программу очень трудно удалить. “Вы можете думать об этих бэдбоксах как о чем-то вроде спальных камер. Они просто сидят там и ждут наборов инструкций”, - говорит Рид. В конечном счете, людям, покупающим приставки для потокового вещания, рекомендуется покупать фирменные устройства, где производитель известен и пользуется доверием. Как говорит Рид, “Друзья не позволяют друзьям подключать странные устройства Интернета вещей к своим домашним сетям”.

04.10.2023
https://www.wired.com/story/android-tv-streaming-boxes-china-backdoor/​

 

Ахахаха. Это че получается, ведроид-дроид?

 

На мой взгляд, статья эта - очередной шаг американского бизнеса в борьбе против китайских корпораций, но она была в топах новостей, поэтому нашёл первоисточник, откуда все её содрали.