網(wǎng)絡(luò)安全公司Human Security近日發(fā)布報(bào)告聲稱在亞馬遜等美國電商平臺上暢銷的安卓機(jī)頂盒超過八成都存在兩個(gè)后門(或之一):Badbox和Peachpit�����。Badbox后門僅感染安卓機(jī)頂盒�,該后門基于卡巴斯基于2016年首次發(fā)現(xiàn)的Triada惡意軟件;而Peachpit屬于廣告欺詐惡意軟件�����,隱藏在至少39個(gè)Android和iOS應(yīng)用程序中(已經(jīng)分別被谷歌和蘋果從應(yīng)用商店下架)�����。
該報(bào)告的主要發(fā)現(xiàn)如下:
HumanSecurity在(亞馬遜等電商平臺銷售的)數(shù)十種機(jī)頂盒設(shè)備和iOS/Android應(yīng)用程序上發(fā)現(xiàn)了惡意軟件�����。
大量Android電視盒包含能夠進(jìn)行廣告欺詐��、創(chuàng)建虛假帳戶以及出售家庭網(wǎng)絡(luò)訪問權(quán)限的惡意軟件��。該計(jì)劃的幕后黑手宣稱擁有超過1000萬個(gè)家庭IP地址和700萬個(gè)移動(dòng)IP地址���。
Badbox惡意軟件不僅難以檢測���,而且也難以刪除(寫入固件�,恢復(fù)出廠設(shè)置也無濟(jì)于事)���。
機(jī)頂盒惡意軟件背后的廣告欺詐網(wǎng)絡(luò)C2服務(wù)器位于中國���,每月收入高達(dá)200萬美元�。
80%安卓機(jī)頂盒預(yù)裝BadBox后門
HumanSecurity的Satori威脅情報(bào)和研究團(tuán)隊(duì)于2023年10月4日發(fā)布的一份報(bào)告中披露,有跡象表明多達(dá)200種不同型號的安卓電視機(jī)頂盒暗藏惡意軟件���,其背后是一個(gè)龐大的有組織廣告欺詐網(wǎng)絡(luò)���。
研究人員分析了七臺安卓電視機(jī)頂盒和一臺平板電腦(J5-W),發(fā)現(xiàn)它們都安裝了后門�,設(shè)備型號和部分產(chǎn)品圖片如下:
Q9
T95
X88
T95Z
J5-W
T95MAX
X12PLUS
MXQPro5G
報(bào)告指出,上述設(shè)備擁有龐大且多樣化的用戶群����,包括美國各地的學(xué)校、企業(yè)和家庭���。報(bào)告另一個(gè)令人震驚的發(fā)現(xiàn)是�����,美國在線零售商銷售的安卓機(jī)頂盒中80%都含Badbox后門(編者:Badbox后門僅在Android上發(fā)現(xiàn)���,iOS設(shè)備未有發(fā)現(xiàn))��。
值得注意的是���,T95機(jī)頂盒預(yù)裝惡意軟件早已是公開的秘密。2023年1月���,加拿大基礎(chǔ)設(shè)施和安全系統(tǒng)顧問DanielMilisic在他通過亞馬遜購買的T95電視盒上也發(fā)現(xiàn)了惡意軟件����。2023年2月���,Malwarebytes研究人員也確認(rèn)T95電視盒上預(yù)裝了惡意軟件����。數(shù)月前電子前沿基金會(huì)的安全研究人員也宣稱發(fā)現(xiàn)了T95中的惡意軟件�����。
然而,迄今為止��,亞馬遜仍在繼續(xù)銷售“預(yù)裝”惡意軟件的T95機(jī)頂盒
HumanSecurity首席信息安全官GavinReid表示���,該廣告欺詐網(wǎng)絡(luò)就像“在互聯(lián)網(wǎng)上做壞事的瑞士軍刀”�,是一次精心組織的大規(guī)模網(wǎng)絡(luò)欺詐行為�。
報(bào)告指出,“惡意機(jī)頂盒”問題是由于AOSP的開放訪問造成的�。這些暗藏惡意軟件的機(jī)頂盒的共同特點(diǎn)是基于安卓開源項(xiàng)目(AOSP)開發(fā),而不是Google認(rèn)證的GoogleTV或AndroidTV(例如NvidiaShield或Chromecast)�����。
研究人員在博客文章中指出�,Badbox在分發(fā)給經(jīng)銷商之前已預(yù)裝在中國制造的安卓機(jī)頂盒設(shè)備上����。設(shè)備插入后,惡意軟件會(huì)自動(dòng)連接到位于中國的C2服務(wù)器�����。
Badbox后門用于在設(shè)備上安裝受感染的應(yīng)用程序,它會(huì)修改安卓操作系統(tǒng)的組件��,強(qiáng)制其執(zhí)行代碼并訪問設(shè)備上安裝的應(yīng)用程序���。此外���,它還會(huì)獲取一組指令在設(shè)備上執(zhí)行指定惡意活動(dòng)。其中包括廣告欺詐���、創(chuàng)建虛假WhatsApp和Gmail帳戶��、出售家庭網(wǎng)絡(luò)訪問權(quán)限以及安裝遠(yuǎn)程代碼���。
“BADBOX的傳播范圍和影響力是巨大的。HUMAN的Satori團(tuán)隊(duì)觀察到全球至少7.4萬部基于安卓系統(tǒng)的手機(jī)���、平板電腦和聯(lián)網(wǎng)電視盒被BADBOX感染�����!
報(bào)告指出,由于這些機(jī)頂盒產(chǎn)品經(jīng)常會(huì)以不同貼牌和名稱發(fā)售��,實(shí)際感染終端數(shù)量非常驚人。根據(jù)趨勢科技的調(diào)查�,BadBox背后有兩家中國黑客組織,其“前端公司”宣稱已經(jīng)有超過2000萬臺有后門的設(shè)備售出����,在線設(shè)備數(shù)量長期穩(wěn)定在200萬臺以上。
月賺200萬美元的廣告欺詐網(wǎng)絡(luò)
一年前����,Human發(fā)現(xiàn)了Badbox的變體程序Peachpit(通過安卓和iOS應(yīng)用商店傳播),后者利用虛假點(diǎn)擊來欺騙廣告商和廣告技術(shù)生態(tài)系統(tǒng)��。
以下是該P(yáng)eachpit活動(dòng)的一些詳細(xì)信息:
Peachpit惡意軟件每天處理約40億個(gè)廣告請求���。Peachpit相關(guān)應(yīng)用曾一度出現(xiàn)在227個(gè)國家和地區(qū)的12.1萬臺安卓設(shè)備和15.9萬臺iOS設(shè)備上�����。
受該計(jì)劃影響的39個(gè)安卓、iOS和機(jī)頂盒應(yīng)用程序在被下架之前已安裝超過1500萬次�。
沒有iOS設(shè)備本身受到Badbox后門的影響,后者通過惡意應(yīng)用程序進(jìn)行Peachpit廣告欺詐攻擊的目標(biāo)�����。
發(fā)現(xiàn)被感染的非品牌設(shè)備并非經(jīng)過PlayProtect認(rèn)證的安卓設(shè)備。
HumanSecurity表示���,Peachpit背后的網(wǎng)絡(luò)犯罪分子利用隱藏廣告�����、欺騙網(wǎng)絡(luò)流量和惡意廣告等方法��,通過他們的計(jì)劃獲利并欺騙廣告行業(yè)�。該公司已與谷歌和蘋果合作破壞了Peachpit的運(yùn)作�����,并與執(zhí)法部門分享了有關(guān)Badbox活動(dòng)的信息�。
HumanSecurity的Reid透露,根據(jù)該公司掌握的數(shù)據(jù)(由于廣告行業(yè)的復(fù)雜性����,這些數(shù)據(jù)并不完整),機(jī)頂盒后門幕后的黑客組織每月可輕松賺取200萬美元���。
參考鏈接:
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
