В популярен евтин китайски Android TV-бокс е открита опасна „задна вратичка“
През януари предходната година специалистът по киберсигурност Даниел Милишич откри, че ТV-бокс T95 с операционна система Android TV (продаван да вземем за пример в Aliexpress) е инфектиран със злотворен програмен продукт незабавно след изваждането му от кутията, само че това беше единствено началото: Human Security разпознава (PDF) цяла мрежа от инфектирани устройства и зловредни приложения.
Изследователите на Human Security откриха, че 7 TV-бокс устройства и с Android и един 1 се продават с авансово конфигурирани „ задни малки врати “, и идентифицираха признаци на злонамерена активност в още 200 разнообразни модела устройства с Android. Тези устройства се употребяват в семейства, просветителни институции и предприятия. Експертите оприличиха плана на „ швейцарско ножче, което прави неприятни неща онлайн “. Схемата включва две области: Badbox – мрежа от устройства с авансово конфигурирани задни малки врати, и Peachpit – мрежа от приложения, посредством които се осъществят лъжливи рекламни схеми.
Подразделението Badbox се занимава най-вече с евтини конзоли с Android на цена под 50 $, които се продават онлайн и в елементарни магазини. Те са без марка или се продават под разнообразни имена, с цел да се скрие произходът им. Тези устройства генерират злотворен трафик посредством достъп до домейна Flyermobi. com. Потвърдени са 8 такива устройства: T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G set-top box, както и таблет J5-W. Human Security откри минимум 74 000 инфектирани устройства, в това число в просветителни институции в Съединени американски щати.
Всички те са създадени в Китай и на един стадий в тях е конфигурирана задна малка врата, основана на троянеца Triada, който Kaspersky Lab откри още през 2016 гoдина – той подменя един от съставените елементи на Android, като си обезпечава достъп до приложенията, конфигурирани на устройството. Задната малка врата се свързва с надзорен сървър (C2), ситуиран в Китай, без знанието на потребителя, изтегля набор от указания и разпростира злонамерена активност. Human Security разпознава няколко типа такава активност: схеми за рекламни измами, резидентни проксита, т.е. продажба на достъп до мрежови запаси на жертви, които имат инфектирани устройства, регистрация на сметки в Gmail и WhatsApp, и отдалечено осъществяване на код.
Според специалистите на Trend Micro уредниците на схемата разполагат с над 20 милиона инфектирани устройства по света, като 2 милиона от тях са дейни във всеки един миг. Има данни, че са наранени доста устройства с Android, даже коли.
Втората област се назовава Peachpit и е обвързвана със зловредни приложения, които се намират освен в телевизионните приемници, само че и в смарт телефони с Android и iPhone-и. Това са най-вече шаблонни приложения с неприятно качество, като да вземем за пример стратегии за извършения за напомпване на коремни мускули или програмен продукт за записване на количеството вода, което потребителите пият. Бяха разпознати общо 39 такива приложения за Android и iOS. Наред с заявените функционалности тези приложения ползват и лъжливи рекламни схеми и фалшифицират трафика. Забележително е, че е открито, че тези приложения имат общи характерности със зловредния програмен продукт, доставян на Badbox устройства.
Мрежата е генерирала до 4 милиарда рекламни визити дневно – включени са 121 хиляди устройства с Android и 159 хиляди iPhone-а. Изследователите пресмятат, че единствено приложенията за Android са били изтеглени общо 15 милиона пъти. Рекламната промишленост има много комплицирана конструкция, тъй че откривателите не разполагат с цялостната картина, само че единствено съгласно данните, с които разполагат, операторите на схемата елементарно биха могли да печелят по 2 милиона $ на месец.
Говорителят на Гугъл Ед Фернандес съобщи, че компанията е премахнала 20 приложения за Android от Гугъл Play, които са били посочени от откривателите на Human Security. Той също по този начин съобщи, че устройствата с авансово конфигурирани „ задни малки врати “ не са сертифицирани по програмата Play Protect, което значи, че Гугъл не разполага с данни за резултатите от тестванията за сигурност и съгласуемост, само че на уеб страницата на Android има лист на сътрудниците. Говорителката на Apple Аршел Телемак съобщи, че компанията се е свързала с разработчиците на 5-те приложения в отчета на Human Security – даден им е 14-дневен период за премахване на грешките, а 4 от тях към този момент не съставляват опасност.
Human Security е съумяла да реализира резултати в прекъсването на схемите Badbox и Peachpit в края на 2022 година и през първата половина на тази година. След първичните дейности нападателите, стоящи зад схемите, те са изпратили актуализации на инфектираните устройства, целящи скриване на активността. Това беше последвано от деактивиране на C2 сървърите, които разрешават действието на задната врата във фърмуера. Активността и на двете схеми внезапно понижа, само че хората не престават да употребяват тези устройства. Без механически умения този злотворен програмен продукт се отстранява доста мъчно и в този момент TV-боксовете с авансово конфигурирани „ задни малки врати “ са се трансформирали в спящи сътрудници.
На потребителите се предлага да купуват артикули от производител, който познават и на който имат доверие.