数以千计的Android电视设备被预装了无法清除的后门 与中国服务器通信

站长云网 2023-10-08 互联网 AI编辑

当你购买电视流媒体盒时,有些事情是你不会想到它会做的。它不应该偷偷植入恶意软件,也不应该一开机就开始与中国的服务器通信。它绝对不应该充当有组织犯罪计划中的一个节点,通过欺诈赚取数百万美元。然而,对于成千上万拥有廉价Android电视设备的不明真相者来说,这就是现实。

今年1月,安全研究人员丹尼尔-米利西奇(DanielMilisic)发现,一款名为T95的廉价Android电视流媒体盒子在开箱后就感染了恶意软件,其他多名研究人员也证实了这一发现。但这只是冰山一角。本周,网络安全公司HumanSecurity(人类安全)披露了有关受感染设备范围的新细节,以及与流媒体盒子有关的隐藏的、相互关联的欺诈计划网络。

人类安全公司的研究人员发现七台Android电视盒和一台平板电脑安装了后门,他们还发现有200种不同型号的Android设备可能受到影响。这些设备遍布美国的家庭、企业和学校。与此同时,人类安全公司表示,它还查处了与该计划有关的广告欺诈行为,这很可能有助于支付该行动的费用。

人类安全公司的CISO加文-里德(GavinReid)说:"他们就像一把在互联网上干坏事的瑞士军刀。这是一种真正的分布式欺诈方式。"里德说,公司已经与执法机构分享了可能制造这些设备的设施的详细信息。

人类安全公司的研究分为两个领域:Badbox,涉及被入侵的Android设备以及它们参与欺诈和网络犯罪的方式。第二个领域被称为Peachpit,是一个相关的广告欺诈行动,涉及至少39个Android和iOS应用程序。Google表示,在人类安全公司的研究之后,它已经删除了这些应用程序,而苹果则表示,它已经在向其报告的几个应用程序中发现了问题。

首先是Badbox。廉价的Android流媒体盒通常售价不到50美元,在网上和实体店有售。这些机顶盒通常没有品牌或以不同的名称出售,部分掩盖了其来源。人类安全公司在其报告中称,2022年下半年,其研究人员发现了一个Android应用程序,该应用程序似乎与不真实的流量相连,并连接到flyermobi.com域名。米利西奇在今年1月发布关于T95Android盒子的初步发现时,研究也指向了flyermobi域名。人类公司的团队购买了这个盒子和其他多个盒子,并开始深入研究。

研究人员总共确认了八款安装了后门的设备--七款电视盒、T95、T95Z、T95MAX、X88、Q9、X12PLUS和MXQPro5G,以及一款平板电脑J5-W。(最近几个月,其他安全研究人员也发现了其中一些问题)。该公司的报告由数据科学家玛丽恩-哈比比(MarionHabiby)担任主要作者,报告称人类安全公司在全球发现了至少74,000台显示Badbox感染迹象的Android设备,其中包括美国学校中的一些设备。

这些电视设备是在中国制造的。在它们到达转售商手中之前的某个地方,研究人员并不清楚在哪里添加了固件后门。这个后门基于安全公司卡巴斯基在2016年首次发现的Triada恶意软件,它修改了Android操作系统的一个元素,允许自己访问设备上安装的应用程序。然后,它就会打电话回家。里德说:"在用户不知情的情况下,当你把这个东西插上电源后,它就会进入中国的一个指挥和控制(C2)系统,下载指令集,然后开始做一些坏事。"

人类安全公司追踪了与被入侵设备有关的多种类型的欺诈行为。其中包括广告欺诈;住宅代理服务,即幕后团伙出售家庭网络访问权;利用连接创建虚假的Gmail和WhatsApp账户;以及远程代码安装。该公司的报告称,幕后黑手在商业上出售住宅网络的访问权限,他们声称可以访问1000多万个家庭IP地址和700多万个移动IP地址。

这些发现与其他研究人员和正在进行的调查相吻合。安全公司趋势科技(TrendMicro)的高级威胁研究员费奥多尔-亚罗奇金(FyodorYarochkin)说,该公司已经发现有两个中国威胁组织使用了被后门的Android设备,一个是它深入研究过的,另一个是人类安全公司调查过的。"设备的感染情况非常相似,"Yarochkin说。

趋势科技在中国为它调查的那个组织找到了一家"前端公司"。他说:"他们声称,他们在全球有超过2000万台设备受到感染,任何时候都有多达200万台设备在线。根据趋势科技的网络数据,"Yarochkin认为这些数字是可信的。"在欧洲的某个博物馆里甚至都有受影响的一台平板电脑,相信可能有成片的Android系统受到了影响,包括汽车里的系统,他们很容易渗透到供应链中,而对于制造商来说,这确实很难察觉。"

还有人类安全公司所说的Peachpit,这是一种基于应用程序的欺诈行为,既出现在电视盒子上,也出现在Android手机和iPhone上。该公司发现有39个Android、iOS和电视盒子应用程序涉及其中。该公司的安全研究员若昂-桑托斯(JoaoSantos)说:"这些都是基于模板的应用程序,质量并不高。"

这些应用程序实施了一系列欺诈行为,包括隐藏广告、欺骗网络流量和恶意广告。研究称,虽然Peachpit的幕后黑手似乎与Badbox的幕后黑手不同,但他们很可能以某种方式合作。桑托斯说:"他们有一个负责广告欺诈的SDK,我们发现这个SDK的一个版本与Badbox上投放的模块名称相匹配,"他指的是一个软件开发工具包。"这是我们发现的另一层联系。"

人类安全公司的研究称,涉案广告每天发出40亿次广告请求,12.1万台Android设备和15.9万台iOS设备受到影响。据研究人员计算,Android应用程序的下载总量达到了1500万次。根据公司掌握的数据(由于广告行业的复杂性,这些数据并不全面),幕后黑手仅在一个月内就能轻松赚取200万美元。

Google发言人埃德-费尔南德斯(EdFernandez)证实,"人类安全"公司报告的20个Android应用程序已从PlayStore下架。费尔南德斯说:"被发现感染Badbox的非品牌设备都不是经过PlayProtect认证的Android设备,"他指的是Google针对Android设备的安全测试系统。"如果设备没有通过PlayProtect认证,Google就没有安全和兼容性测试结果记录。"该公司有一份经过认证的AndroidTV合作伙伴名单。苹果发言人ArchelleThelemaque表示,苹果发现Human报告的应用程序中有5款违反了苹果的指导原则,并给了开发者14天时间让他们遵守规则。截至发稿时,其中四款已经做到了这一点。

里德说,在2022年底和今年上半年,人类安全公司对Badbox和Peachpit的广告欺诈行为采取了行动。根据该公司提供的数据,目前来自这些计划的欺诈性广告请求数量已经完全下降。但是,攻击者实时适应了这种干扰。桑托斯说,刚开始部署反制措施时,那些幕后黑手先是发送更新来混淆视听。他说,随后,Badbox的幕后黑手摧毁了为固件后门提供动力的C2服务器。

虽然攻击者的行动已经放缓,但这些盒子仍在人们的家中和网络上。除非有人具备技术技能,否则恶意软件很难被清除。"你可以把这些'Badbox'看作是一种潜伏细胞。它们就在那里等待指令集,"里德说。最后,对于购买电视流媒体盒的人来说,建议购买品牌设备,因为制造商是明确的,值得信赖的。因为"朋友不会让朋友把奇怪的物联网设备接入他们的家庭网络"。

阅读安全报告全文:

https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf

责任编辑:站长云网