Минулого січня експерт з кібербезпеки Деніел Мілішич (Daniel Milisic) виявив, що приставка T95 під керуванням Android TV (продається, наприклад, на Aliexpress) прийшла зараженою шкідливим ПЗ прямо з коробки. Але це була лише верхівка айсберга: компанія Human Security виявила (PDF) цілу тіньову мережу, пов’язану із зараженими пристроями та шкідливими програмами.
Дослідники з Human Security виявили сім приставок під Android TV та один планшетний комп’ютер, які продаються з встановленими бекдорами, та виявили ознаки шкідливої активності ще у 200 різних моделей Android-пристроїв. Ці пристрої використовуються в домогосподарствах, освітніх установах та на підприємствах. Експерти порівняли проєкт зі «швейцарським армійським ножем, який робить погані вчинки в інтернеті». Схема включає два напрями: Badbox — мережа пристроїв у встановленими бекдорами; і Peachpit — мережа додатків, з яких реалізуються шахрайські рекламні схеми.
Напрямок Badbox зайнятий переважно дешевими Android-приставками за ціною меншою за $50, які продаються в інтернеті та звичайних магазинах. Вони поставляються без торгової марки або продаються під різними назвами, що допомагає приховати їхнє походження. Ці пристрої генерують шкідливий трафік, звертаючись до домену Flyermobi.com. Підтверджено вісім таких пристроїв: Т-приставки
T95, T95Z, T95MAX, X88, Q9, X12PLUS та MXQ Pro 5G, а також планшетний комп’ютер J5-W. Human Security виявила щонайменше 74 тис. заражених пристроїв, зокрема в освітніх установах США.
Всі вони виробляються в Китаї, і на одному з етапів на них встановлюється бекдор, заснований на трояні Triada, який «Лабораторія Касперського» виявила ще у 2016 році — він підміняє один із компонентів Android, надаючи собі доступ до додатків, встановлених на пристрої. Бекдор без відома користувача підключається до розташованого в Китаї сервера керування (C2), завантажує набір інструкцій і розгортає шкідливу активність. Human Security встановила кілька видів такої активності: рекламні шахрайські схеми; резидентні проксі, тобто продаж доступу до мережевих ресурсів жертв — власників заражених пристроїв; реєстрація облікових записів Gmail та WhatsApp; віддалене виконання коду.
Люди, що стоять за схемою, пропонували доступ до своїх мереж, стверджуючи, що у них є вихід на більш ніж 10 млн домашніх і 7 млн мобільних IP-адрес. За версією експертів Trend Micro, в організаторів схеми понад 20 млн заражених пристроїв у всьому світі, причому 2 млн з них активні у будь-який момент часу. Зокрема, було виявлено планшетний комп’ютер в одному з європейських музеїв; є підстави вважати, що торкнуться безліч Android-пристроїв, включаючи навіть автомобілі.
Другий напрямок має умовну назву Peachpit, і пов’язаний він зі шкідливими програмами, які присутні не тільки на ТБ-приставках, але також добровільно встановлюються користувачами на Android-телефони та iPhone. В основному це шаблонні програми не дуже високої якості, наприклад, комплекси вправ, як накачати м’язи преса, або ПЗ для запису об’ємів води, що випивається користувачами. Загалом виявлено 39 таких програм для Android, iOS та ТВ-приставок. Паралельно з декларованими функціями ці програми також реалізують шахрайські схеми з рекламою та фальсифікують трафік. Примітно, що в цих додатках виявлено спільні риси зі шкідливим програмним забезпеченням, що поставляється на пристроях напрямку Badbox.
Мережа генерувала до 4 млрд рекламних звернень на день — було задіяно 121 тис. Android-пристроїв та 159 тис. iPhone. За підрахунками дослідників, тільки Android-додатки були завантажені в цілому 15 млн разів. Рекламна індустрія має досить складну структуру, тому повної картини у дослідників немає, але лише за даними оператори схеми могли легко заробляти $2 млн на місяць.
Представник Google Ед Фернандес (Ed Fernandez) повідомив, що компанія видалила з Google Play 20 програм під Android, на які вказали дослідники Human Security. Він також розповів, що пристрої з попередньо встановленими бекдорами не проходили сертифікації Play Protect, а значить, у Google відсутні дані про результати тестів безпеки та сумісності, але на сайті Android є список партнерів. Представник Apple Аршель Телемак (Archelle Thelemaque) розповіла, що компанія зв’язалася з розробниками п’яти додатків з доповіді Human Security — їм дали 14 днів на виправлення помилок, і чотири додатки вже не загрожують.
Результатів припинення схем Badbox і Peachpit компанії Human Security вдалося досягти наприкінці 2022 року і в першій половині поточного. Після перших дій зловмисники, що стоять за схемами, розіслали на заражені пристрої оновлення, спрямовані на приховування активності. Після цього було відключено сервери C2, що забезпечують функціонування бекдору у прошивці. Активність обох схем кардинально знизилася, але продовжують користуватися цими пристроями. Без технічних навичок видалити це шкідливе програмне забезпечення дуже непросто, і зараз ТБ-приставки з встановленими бекдорами перетворилися на свого роду сплячих агентів. Споживачам рекомендується купувати продукцію, виробник якої відомий і якому вони довіряють.
