超八成国产安卓机顶盒“预装”恶意软件?

一月份,安全研究人员Daniel Milisic发现一款名为T95的廉价安卓机顶盒一开箱就感染了恶意软件,其他多名安全研究人员也证实了这一发现。但这只是冰山一角。本周,网络安全公司Human Security披露了这些机顶盒暗藏的后门及其背后日进斗金的庞大广告欺诈网络的细节。

网络安全公司Human Security近日发布报告声称在亚马逊等美国电商平台上畅销的安卓机顶盒超过八成都存在两个后门(或之一):Badbox和Peachpit。Badbox后门仅感染安卓机顶盒,该后门基于卡巴斯基于2016年首次发现的Triada恶意软件;而Peachpit属于广告欺诈恶意软件,隐藏在至少39个Android和iOS应用程序中(已经分别被谷歌和苹果从应用商店下架)。

该报告的主要发现如下:

  • HumanSecurity在(亚马逊等电商平台销售的)数十种机顶盒设备和iOS/Android应用程序上发现了恶意软件。
  • 大量Android电视盒包含能够进行广告欺诈、创建虚假帐户以及出售家庭网络访问权限的恶意软件。该计划的幕后黑手宣称拥有超过1000万个家庭IP地址和700万个移动IP地址。
  • Badbox恶意软件不仅难以检测,而且也难以删除(写入固件,恢复出厂设置也无济于事)。
  • 机顶盒恶意软件背后的广告欺诈网络C2服务器位于中国,每月收入高达200万美元。

80%安卓机顶盒预装BadBox后门

HumanSecurity的Satori威胁情报和研究团队于2023年10月4日发布的一份报告中披露,有迹象表明多达200种不同型号的安卓电视机顶盒暗藏恶意软件,其背后是一个庞大的有组织广告欺诈网络。

研究人员分析了七台安卓电视机顶盒和一台平板电脑(J5-W),发现它们都安装了后门,设备型号和部分产品图片如下:

  • Q9
  • T95
  • X88
  • T95Z
  • J5-W
  • T95MAX
  • X12PLUS
  • MXQPro5G

报告指出,上述设备拥有庞大且多样化的用户群,包括美国各地的学校、企业和家庭。报告另一个令人震惊的发现是,美国在线零售商销售的安卓机顶盒中80%都含Badbox后门(编者:Badbox后门仅在Android上发现,iOS设备未有发现)。

值得注意的是,T95机顶盒预装恶意软件早已是公开的秘密。2023年1月,加拿大基础设施和安全系统顾问DanielMilisic在他通过亚马逊购买的T95电视盒上也发现了恶意软件。2023年2月,Malwarebytes研究人员也确认T95电视盒上预装了恶意软件。数月前电子前沿基金会的安全研究人员也宣称发现了T95中的恶意软件。

然而,迄今为止,亚马逊仍在继续销售“预装”恶意软件的T95机顶盒(下图):

HumanSecurity首席信息安全官GavinReid表示,该广告欺诈网络就像“在互联网上做坏事的瑞士军刀”,是一次精心组织的大规模网络欺诈行为。

报告指出,“恶意机顶盒”问题是由于AOSP的开放访问造成的。这些暗藏恶意软件的机顶盒的共同特点是基于安卓开源项目(AOSP)开发,而不是Google认证的GoogleTV或AndroidTV(例如NvidiaShield或Chromecast)。

研究人员在博客文章中指出,Badbox在分发给经销商之前已预装在中国制造的安卓机顶盒设备上。设备插入后,恶意软件会自动连接到位于中国的C2服务器。

Badbox后门用于在设备上安装受感染的应用程序,它会修改安卓操作系统的组件,强制其执行代码并访问设备上安装的应用程序。此外,它还会获取一组指令在设备上执行指定恶意活动。其中包括广告欺诈、创建虚假WhatsApp和Gmail帐户、出售家庭网络访问权限以及安装远程代码。

“BADBOX的传播范围和影响力是巨大的。HUMAN的Satori团队观察到全球至少7.4万部基于安卓系统的手机、平板电脑和联网电视盒被BADBOX感染。”

报告指出,由于这些机顶盒产品经常会以不同贴牌和名称发售,实际感染终端数量非常惊人。根据趋势科技的调查,BadBox背后有两家中国黑客组织,其“前端公司”宣称已经有超过2000万台有后门的设备售出,在线设备数量长期稳定在200万台以上。

月赚200万美元的广告欺诈网络

一年前,Human发现了Badbox的变体程序Peachpit(通过安卓和iOS应用商店传播),后者利用虚假点击来欺骗广告商和广告技术生态系统。

以下是该Peachpit活动的一些详细信息:

  • Peachpit恶意软件每天处理约40亿个广告请求。Peachpit相关应用曾一度出现在227个国家和地区的12.1万台安卓设备和15.9万台iOS设备上。
  • 受该计划影响的39个安卓、iOS和机顶盒应用程序在被下架之前已安装超过1500万次。
  • 没有iOS设备本身受到Badbox后门的影响,后者通过恶意应用程序进行Peachpit广告欺诈攻击的目标。
  • 发现被感染的非品牌设备并非经过PlayProtect认证的安卓设备。

HumanSecurity表示,Peachpit背后的网络犯罪分子利用隐藏广告、欺骗网络流量和恶意广告等方法,通过他们的计划获利并欺骗广告行业。该公司已与谷歌和苹果合作破坏了Peachpit的运作,并与执法部门分享了有关Badbox活动的信息。

HumanSecurity的Reid透露,根据该公司掌握的数据(由于广告行业的复杂性,这些数据并不完整),机顶盒后门幕后的黑客组织每月可轻松赚取200万美元。

参考链接:

  • https://www.humansecurity.com/learn/resources/trojans-all-the-way-down-badbox-and-peachpit    
  • https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf
  • https://arstechnica.com/security/2023/10/thousands-of-android-devices-come-with-unkillable-backdoor-preinstalled/

前一篇调查:40岁以下的年轻员工的安全意识更差
后一篇巴以冲突相关网络攻击活动暴增