Duizenden Android TV-apparaten zijn vooraf geïnstalleerd met een achterdeur die niet kan worden verwijderd en communiceert met Chinese servers

Wanneer u een tv-streamingbox koopt, zijn er enkele dingen die u niet verwacht. Het zou niet in staat moeten zijn om heimelijk malware te planten, en het zou ook niet moeten beginnen te communiceren met servers in China zodra het opstart. Het mag nooit dienen als knooppunt in een plan van de georganiseerde misdaad om miljoenen dollars te verdienen met fraude. Voor de duizenden ongeïnformeerde mensen die goedkope Android TV-apparaten bezitten, is dit echter de realiteit.

In januari ontdekte beveiligingsonderzoeker Daniel Milisic dat een goedkope Android TV-streamingbox genaamd de T95 direct uit de doos met malware was geïnfecteerd, een bevinding die door meerdere andere onderzoekers werd bevestigd. Maar dit is slechts het topje van de ijsberg. Deze week onthulde cyberbeveiligingsbedrijf Human Security nieuwe details over de omvang van geïnfecteerde apparaten en een verborgen, onderling verbonden netwerk van fraudeplannen gekoppeld aan streamingboxen.

Onderzoekers van Human Security vonden zeven Android TV-boxen en één tablet waarop backdoors waren geïnstalleerd, en ontdekten ook dat mogelijk 200 verschillende modellen Android-apparaten getroffen waren. Deze apparaten zijn te vinden in huizen, bedrijven en scholen in de Verenigde Staten. Ondertussen zei Human Security dat het ook advertentiefraude in verband met het plan had ontdekt, die waarschijnlijk heeft bijgedragen aan de betaling van de operatie.

"Ze zijn als een Zwitsers zakmes omdat ze slechte dingen doen op internet", zegt Gavin Reid, CISO bij Human Security. "Het is een echt gedistribueerde vorm van fraude." Reid zei dat het bedrijf details heeft gedeeld met wetshandhavingsinstanties over faciliteiten waar de apparaten mogelijk zijn vervaardigd.

Het onderzoek van Human Security is verdeeld in twee gebieden: Badbox, waarbij gecompromitteerde Android-apparaten betrokken zijn en de manieren waarop deze betrokken kunnen zijn bij fraude en cybercriminaliteit. Het tweede gebied, bekend als Peachpit, betrof een gerelateerde advertentiefraude waarbij ten minste 39 Android- en iOS-apps betrokken waren. Google zei dat het de apps had verwijderd na onderzoek van Human Security, terwijl Apple zei dat het problemen had ontdekt in verschillende apps die aan het bedrijf waren gerapporteerd.

De eerste is Badbox. Goedkope Android-streamingboxen kosten doorgaans minder dan $ 50 en zijn online en in winkels verkrijgbaar. Deze settopboxen zijn vaak merkloos of worden onder verschillende namen verkocht, waardoor de herkomst ervan gedeeltelijk onduidelijk wordt. Human Security zei in haar rapport dat haar onderzoekers in de tweede helft van 2022 een Android-app ontdekten die verbonden leek te zijn met niet-authentiek verkeer en verbonden was met de domeinnaam flyermobi.com. Toen Milicic in januari van dit jaar zijn eerste bevindingen over de T95 Android-box naar buiten bracht, wees het onderzoek ook op de flyermobi-domeinnaam. Het team van Humanity kocht deze doos en een aantal andere en begon erin te graven.

In totaal identificeerden de onderzoekers acht apparaten waarop de achterdeur was geïnstalleerd: zeven tv-boxen, T95, T95Z, T95MAX, X88, Q9, X12PLUS en MXQPro5G, en één tablet, de J5-W. (Sommige van deze problemen zijn de afgelopen maanden ook door andere beveiligingsonderzoekers ontdekt). Volgens het rapport van het bedrijf, geleid door datawetenschapper Marion Habiby, heeft Human Security wereldwijd minstens 74.000 Android-apparaten gevonden die tekenen van een Badbox-infectie vertoonden, waaronder enkele op Amerikaanse scholen.

Deze tv-toestellen worden vervaardigd in China. Onderzoekers weten niet precies waar ergens een firmware-backdoor is toegevoegd voordat ze resellers bereikten. De achterdeur is gebaseerd op de Triada-malware die voor het eerst werd ontdekt door beveiligingsbedrijf Kaspersky in 2016 en die een element van het Android-besturingssysteem aanpast om zichzelf toegang te geven tot applicaties die op het apparaat zijn geïnstalleerd. Vervolgens wordt er naar huis gebeld. "Zonder dat de gebruiker het weet, gaat het, wanneer je dit ding aansluit, naar een Chinees commando- en controlesysteem (C2), downloadt de instructieset en begint dan slechte dingen te doen," zei Reed.

Human Security heeft vele soorten fraude met betrekking tot gecompromitteerde apparaten opgespoord. Deze omvatten advertentiefraude; residentiële proxydiensten, waarbij groepen toegang tot thuisnetwerken verkopen; misbruik maken van verbindingen om valse Gmail- en WhatsApp-accounts te maken; en installatie van afstandsbedieningscodes. In het rapport van het bedrijf staat dat de actoren achter de aanval op commerciële wijze toegang tot residentiële netwerken verkochten en beweerden dat ze toegang hadden tot meer dan 10 miljoen thuis-IP-adressen en meer dan 7 miljoen mobiele IP-adressen.

Deze bevindingen komen overeen met die van andere onderzoekers en lopende onderzoeken. Fyodor Yarochkin, senior dreigingsonderzoeker bij beveiligingsbedrijf Trend Micro, zei dat het bedrijf twee Chinese dreigingsgroepen heeft ontdekt die Android-apparaten met een backdoor gebruiken. Eén daarvan is diepgaand onderzocht en de andere is onderzocht door menselijke beveiligingsbedrijven. "Het infectieprofiel van apparaten lijkt erg op elkaar", zei Yarochkin.

Trend Micro vond een 'front-endbedrijf' in China voor de organisatie die het onderzocht. "Ze beweren dat er wereldwijd meer dan 20 miljoen apparaten zijn geïnfecteerd, waarbij er op elk moment tot wel 2 miljoen apparaten online zijn. Gebaseerd op de netwerkgegevens van Trend Micro", meent Yarochkin dat deze cijfers geloofwaardig zijn, zei hij. "Er ligt zelfs een getroffen tablet in een museum in Europa. Ik denk dat er mogelijk een groot aantal Android-systemen getroffen zijn, waaronder systemen in auto's. Ze kunnen gemakkelijk doordringen in de toeleveringsketen en zijn voor fabrikanten echt moeilijk te detecteren."

Er is ook wat Human Security Peachpit noemt, een app-gebaseerde fraude die zowel op tv-boxen als op Android-telefoons en iPhones verschijnt. Het bedrijf ontdekte dat er 39 Android-, iOS- en TV Box-apps bij betrokken waren. "Dit zijn op sjablonen gebaseerde applicaties en niet van hoge kwaliteit", zegt Joao Santos, een beveiligingsonderzoeker bij het bedrijf.

De apps voerden een reeks misleidende praktijken uit, waaronder het verbergen van advertenties, het spoofen van netwerkverkeer en malvertising. Hoewel de mensen achter Peachpit anders lijken te zijn dan die achter Badbox, is het waarschijnlijk dat ze op de een of andere manier hebben samengewerkt, aldus het onderzoek. "Ze hebben een SDK die verantwoordelijk is voor advertentiefraude, en we hebben een versie van deze SDK gevonden die overeenkomt met de naam van de module die op Badbox wordt aangeboden", zei Santos, verwijzend naar een softwareontwikkelingskit. "Dat is een nieuwe verbindingslaag die we hebben gevonden."

Volgens onderzoek van Human Security versturen de betrokken advertenties elke dag 4 miljard advertentieverzoeken, die betrekking hebben op 121.000 Android-apparaten en 159.000 iOS-apparaten. Onderzoekers berekenden dat Android-apps in totaal 15 miljoen keer zijn gedownload. Volgens gegevens van het bedrijf (die niet volledig zijn vanwege de complexiteit van de reclame-industrie) zou de persoon achter de operatie gemakkelijk in slechts één maand $ 2 miljoen kunnen verdienen.

Google-woordvoerder Ed Fernandez bevestigde dat twintig door Human Security gemelde Android-apps uit de Play Store zijn verwijderd. "Geen van de met Badbox geïnfecteerde apparaten van een ander merk waren PlayProtect-gecertificeerde Android-apparaten", zei Fernandez, verwijzend naar het beveiligingstestsysteem van Google voor Android-apparaten. "Als een apparaat niet PlayProtect-gecertificeerd is, heeft Google geen gegevens over de resultaten van beveiligings- en compatibiliteitstests." Het bedrijf heeft een lijst met gecertificeerde Android TV-partners. Apple-woordvoerder Archelle Thelemaque zei dat Apple constateerde dat vijf van de door Human gerapporteerde apps de richtlijnen van Apple schonden en gaf de ontwikkelaars 14 dagen de tijd om aan de regels te voldoen. Op het moment van schrijven hebben vier van hen dit gedaan.

Reed zei dat Human Security eind 2022 en de eerste helft van dit jaar actie ondernam tegen Badbox en Peachpit wegens advertentiefraude. Volgens gegevens van het bedrijf is het aantal frauduleuze advertentieverzoeken van deze programma's nu volledig gedaald. Aanvallers passen zich echter in realtime aan deze interferentie aan. Santos zei dat toen de tegenmaatregelen voor het eerst werden ingezet, degenen achter de aanval begonnen met het sturen van updates om de situatie te verwarren. De acteurs achter Badbox vernietigden vervolgens de C2-server die de achterdeur van de firmware aandreef, zei hij.

Hoewel de activiteiten van de aanvallers zijn vertraagd, staan de dozen nog steeds bij mensen thuis en online. Malware is moeilijk te verwijderen tenzij iemand technische vaardigheden heeft. "Je kunt deze 'Badboxes' zien als een soort slaapcellen, ze wachten daar gewoon op een reeks instructies', zei Reed. Ten slotte wordt het voor degenen die een tv-streamingbox kopen aanbevolen om een merkapparaat te kopen, aangezien de fabrikant duidelijk en betrouwbaar is. Omdat "vrienden niet toestaan dat vrienden vreemde IoT-apparaten op hun thuisnetwerk aansluiten."

Lees het volledige veiligheidsrapport:

https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf