Όταν αγοράζετε κάποιο TV streaming box, υπάρχουν ορισμένα πράγματα που δεν περιμένετε να κάνει. Δεν θα πρέπει να συνδέεται κρυφά με κακόβουλο λογισμικό ή να αρχίζει να επικοινωνεί με διακομιστές στην Κίνα. Σίγουρα δεν θα έπρεπε να λειτουργεί σαν κόμβος σε ένα σύστημα οργανωμένου εγκλήματος που κερδίζει εκατομμύρια δολάρια μέσω απάτης. Ωστόσο, αυτή ήταν η πραγματικότητα για χιλιάδες ανθρώπους που διαθέτουν φτηνές συσκευές Android TV.
Τον Ιανουάριο, ο ερευνητής ασφαλείας Daniel Milisic ανακάλυψε ότι ένα φτηνό TV streaming box Android TV που ονομάζεται T95 είχε μολυνθεί με κακόβουλο λογισμικό out of the box, με πολλούς άλλους ερευνητές να επιβεβαιώνουν τα ευρήματά του. Αυτή ήταν η κορυφή του παγόβουνου. Αυτή την εβδομάδα, η εταιρεία κυβερνοασφάλειας Human Security αποκαλύπτει νέες λεπτομέρειες σχετικά με το εύρος των μολυσμένων συσκευών.
Οι ερευνητές της Human Security βρήκαν επτά διαφορετικά Android TV και ένα tablet με εγκατεστημένα backdoor και έχουν δει σημάδια 200 διαφορετικών μοντέλων συσκευών Android που μπορεί να συμβαίνει το ίδιο, σύμφωνα με μια αναφορά που κοινοποιήθηκε αποκλειστικά στο WIRED. Οι συσκευές βρίσκονται σε σπίτια, επιχειρήσεις και σχολεία στις ΗΠΑ. Εν τω μεταξύ, η Human Security αναφέρει επίσης ότι αφαίρεσε μια διαφημιστική απάτη που συνδέεται με το πρόγραμμα.
“Μοιάζουν με ένα ελβετικό σουγιά που κάνει κακά πράγματα στο Διαδίκτυο”, λέει ο Gavin Reid, CISO στην Human Security που ηγείται της ομάδας πληροφοριών και έρευνας Satori Threat της εταιρείας.
Η έρευνα της Human Security χωρίζεται σε δύο μέρη: το Badbox, το οποίο περιλαμβάνει τις παραβιασμένες συσκευές Android και τους τρόπους με τους οποίους εμπλέκονται στην απάτη και το έγκλημα στον κυβερνοχώρο. Το δεύτερο, ονομάζεται Peachpit, και εξετάζει μια επιχείρηση απάτης με διαφημίσεις που περιλαμβάνει τουλάχιστον 39 εφαρμογές Android και iOS. Η Google αναφέρει ότι έχει αφαιρέσει τις εφαρμογές μετά από την έρευνα της Human Security, ενώ η Apple λέει ότι έχει βρει προβλήματα σε αρκετές από τις εφαρμογές που της αναφέρθηκαν.
Badbox.
Τα φτηνά Android streaming boxes, που συνήθως κοστίζουν λιγότερο από 50$, πωλούνται στο διαδίκτυο. Αυτοί οι αποκωδικοποιητές είναι συχνά χωρίς κάποια επωνυμία ή πωλούνται με διαφορετικά ονόματα, κρύβοντας εν μέρει την πηγή τους. Κατά το δεύτερο εξάμηνο του 2022, η Human Security αναφέρει στην έκθεσή της, ότι οι ερευνητές της εντόπισαν μια εφαρμογή Android που φαινόταν να συνδέεται με το domain flyermobi.com. Όταν ο Milisic δημοσίευσε τα αρχικά του ευρήματα σχετικά για το Android streaming box T95 τον Ιανουάριο, η έρευνα ανέφερε επίσης το domain flyermobi. Η ομάδα της Human αγόρασε το κουτί και πολλά άλλα και άρχισε να τα ελέγχει.
Συνολικά οι ερευνητές επιβεβαίωσαν οκτώ συσκευές με εγκατεστημένα backdoor — επτά TV box, τα T95, T95Z, T95MAX, X88, Q9, X12PLUS και MXQ Pro 5G και ένα tablet J5-W. Η έκθεση της εταιρείας, η οποία έχει ως κύριο συγγραφέα την επιστήμονα δεδομένων Marion Habiby, αναφέρει ότι η Human Security εντόπισε τουλάχιστον 74.000 συσκευές Android που έδειχναν σημάδια μόλυνσης από το Badbox σε όλο τον κόσμο.
Τα TV box κατασκευάζονται στην Κίνα. Κάπου πριν φτάσουν στα χέρια των μεταπωλητών προστίθεται ένα firmware backdoor. Αυτό το backdoor, χρησιμοποιεί το κακόβουλο λογισμικό Triada που εντοπίστηκε για πρώτη φορά από την εταιρεία ασφαλείας Kaspersky το 2016, και τροποποιεί ένα στοιχείο του λειτουργικού συστήματος Android, επιτρέποντας στον εαυτό του να έχει πρόσβαση σε εφαρμογές που είναι εγκατεστημένες στις συσκευές. Μετά επικοινωνεί με τους hackers. “Εν αγνοία του χρήστη, όταν συνδέετε αυτό το πράγμα, χρησιμοποιεί μια εντολή command and control (C2) και αρχίζει να κάνει ένα σωρό κακά πράγματα”, λέει ο Reid.
Τα ευρήματα ανταποκρίνονται σε αυτά άλλων ερευνητών και σε συνεχείς έρευνες. Ο Fyodor Yarochkin, ανώτερος ερευνητής απειλών στην εταιρεία ασφαλείας Trend Micro, λέει ότι η εταιρεία έχει δει δύο κινεζικές ομάδες που έχουν χρησιμοποιήσει backdoor σε συσκευές Android – τη μία την έχει ερευνήσει σε βάθος, και η άλλη είναι αυτή που εξέτασε η Human Security.
Η Trend Micro αναφέρει ότι βρήκε μια “front end company” για τον όμιλο που ερεύνησε στην Κίνα. “Ισχυρίζονται ότι έχουν πάνω από 20 εκατομμύρια συσκευές που έχουν μολυνθεί σε όλο τον κόσμο, με έως και 2 εκατομμύρια συσκευές να είναι online ανά πάσα στιγμή”.
Peachpit.
Είναι μια απάτη που βασίζεται σε εφαρμογές, που τρέχουν σε TV boxes, Android phones και iPhone, σύμφωνα με τον Reid. Η εταιρεία του εντόπισε 39 εφαρμογές Android, iOS και TV box. “Πρόκειται για εφαρμογές που βασίζονται σε πρότυπα — όχι πολύ υψηλής ποιότητας”, λέει ο Joao Santos, ερευνητής ασφάλειας στην εταιρεία. Υπήρχαν εφαρμογές για την ανάπτυξη κοιλιακών και την καταγραφή της ποσότητας νερού που πίνει ένα άτομο.
Οι εφαρμογές είχαν κακόβουλες συμπεριφορές όπως την προβολή κρυφών διαφημίσεων, αποστολή πλαστής επισκεψιμότητας στον ιστό και κακόβουλης διαφήμισης. Η έρευνα αναφέρει ότι αυτοί που είναι πίσω από το Peachpit είναι διαφορετικοί από εκείνους πίσω από το Badbox, αλλά είναι πιθανό να συνεργάζονται κατά κάποιο τρόπο.
Η έρευνα της Human Security αναφέρει ότι οι συγκεκριμένες διαφημίσεις έκαναν 4 δισεκατομμύρια αιτήματα για διαφημίσεις την ημέρα. 121.000 συσκευές Android φαίνεται να επηρεάζονται αλλά και γύρω στις 159.000 συσκευές με iOS. Οι εφαρμογές είχαν κατέβει συνολικά 15 εκατομμύρια φορές.
Ο Reid αναφέρει ότι με βάση τα δεδομένα που διαθέτει η εταιρεία, τα οποία δεν δείχνουν την πλήρη εικόνα λόγω της πολυπλοκότητας της βιομηχανίας διαφημίσεων, αυτοί που βρίσκονται πίσω από την απάτη θα μπορούσαν να κερδίζουν εύκολα 2 εκατομμύρια δολάρια το μήνα.
Κατι ηξερα που σεταρα νεα accounts σε ολα το low-cost android devices μου.
Ή απλά βρίσκεις μια Rom με επίσημο Android TV, που υποστηρίζεται από το box, που έχεις, διαγράφεις τη μνήμη NAND και κάνεις format και μετά flash το καινούργιο λογισμικό!