如果你从Android电视盒获得流媒体修复程序,则你的设备可能会被恶意软件所感染,这些恶意软件能够进行广告欺诈、创建假帐户,并通过悄悄地将你的数据转移到中国的服务器来销售对家庭网络的访问。
根据本周的一份新报告,网络安全公司人类安全(Human Security)发现了几款Android电视盒和至少一款平板电脑直接感染了危险的固件后门的证据,这些固件后门很难检测,甚至更难移除。人类安全部门在世界各地发现至少74000部Android手机、平板电脑和连接的电视盒显示出感染迹象。根据与Wired共享的一份报告,研究人员发现至少200种不同型号的Android设备可能受到影响。
总共,研究人员确定了八个已知安装了后门的设备——七个电视盒、T95、T95Z、T95MAX、X88、Q9、X12PLUS和MXQ Pro 5G,以及一个平板电脑J5-W。所有这些设备都拥有庞大而多样化的用户群,从家庭、企业到学校,遍布美国各地。
“这是一种真正分布式的欺诈方式,”人类安全组织的首席信息官加文·里德(Gavin Reid)在接受《Wired》采访时表示。他补充说,执法机构已经收到了他们收集的关于设备可能制造地的所有细节。
下面是该方案的工作原理。这些设备是在中国制造的,在商业供应链的某个点上,在将它们交付给分销商或商店之前,安装了基于恶意软件的固件后门。后门是建立在Triada恶意软件上的,这是一个“下载程序”,其主要目的是建立一个后门,通过它可以下载和安装其他恶意程序。这些被称为Badbox感染的后门与欺诈和网络犯罪的全球网络相连。
“在用户不知道的情况下,当你插入这个东西时,在中国它会转到命令和控制(C2),并下载一个指令集,然后开始做一大堆糟糕的事情,”里德告诉该网站。
人类安全组织的报告解释说,黑客随后使用这种对受损设备的访问来执行多种类型的欺诈,包括广告欺诈、创建伪造的Gmail和WhatsApp帐户以及远程代码安装。该计划背后的集团正在商业上销售住宅网络接入,并声称可以访问数百万个移动IP地址。
这家网络安全公司报告称,BadBox运营商已经拆除了他们的命令和控制服务器,表面上是为了适应和规避日益严格的审查中的防御措施。担心的消费者应避免使用受感染的设备,因为恶意软件驻留在固件分区中,这使得删除非常困难,除非你有一些技术诀窍。
里德告诉《Wired》:“你可以把这些死机想象成睡眠细胞。它们只是坐在那里等待指令集。”。对于任何正在寻找新电视流媒体盒的人,他建议在购买新产品时选择熟悉的品牌,并坚持使用可信制造商的设备。
