Специализирующаяся на кибербезопасности фирма Human Security провела масштабное исследование рынка недорогих телеприставок, обнаружив в них не только опасные уязвимости и предустановленное вредоносное ПО, но и целую мошенническую сеть, зарабатывающую миллионы долларов через устройства ничего не подозревающих пользователей.
Началось всё в январе этого года со специалиста по цифровой безопасности Дэниела Милишича, который обнаружил в ТВ-приставке на Android TV под названием T95 предустановленное вредоносное ПО. Это побудило других специалистов провести свои расследования: в итоге эксперты Human Security обнаружили аналогичную проблему в семи разных популярных телеприставках (T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G) и планшете J5-W. Кроме того, ещё в 200 различных моделях Android-устройств были выявлены признаки вредоносной активности. В общей сложности по всему миру, в том числе на предприятиях и в школах по всей территории США, было выявлено порядка 74 000 заражённых гаджетов.
По словам специалистов, схема состояла из двух направлений:
- Badbox — устройства с предустановленным бэкдором на базе вредоносного ПО Triada;
- Peachpit — сеть приложений, используемых в мошеннических рекламных схемах.
В первом случае участвовали в основном недорогие Android-телеприставки, а во втором было обнаружено по меньшей мере 39 приложений. Анализ показал, что эти устройства генерировали вредоносный трафик, обращаясь к домену Flyermobi.com.
Организаторы мошеннической схемы продавали доступ к домашней сети владельцев заражённых устройств, создавали фейковые записи Gmail и WhatsApp с использованием этих подключений и предлагали удалённую установку вредоносного кода. Утверждается, что злоумышленники получили доступ к более чем 10 миллионам домашних IP-адресов и 7 миллионам мобильных IP-адресов. Что касается приложений, то они использовались для показа скрытой рекламы, подделки веб-трафика и предоставления вредоносной рекламы. Согласно отчёту Human Security, эти программы отправляли 4 миллиарда рекламных запросов в день через 121 000 Android-устройств и 159 000 гаджетов на iOS. Только на Android эти приложения были скачаны 15 миллионов раз.
Представитель Google заявил, что 20 Android-приложений, о которых сообщила Human Security, уже были удалены из Google Play, а в некоторых из программ опасность устранили. Представители Human Security отметили, что к концу 2022 года и в первой половине этого года они пресекли мошеннические схемы Badbox и Peachpit. Однако специалисты отмечают, что сейчас на руках у пользователей находится множество устройств в «замороженном» состоянии, которые потенциально снова могут начать участвовать в нелегальной деятельности.