Wenn du kaufst Bei einer TV-Streaming-Box gibt es bestimmte Dinge, die man von ihr nicht erwarten würde. Es sollte nicht heimlich mit Malware infiziert sein oder beim Hochfahren mit Servern in China kommunizieren. Es sollte auf keinen Fall als Knotenpunkt in einem System der organisierten Kriminalität fungieren, das durch Betrug Millionen von Dollar erwirtschaftet. Für Tausende unwissender Menschen, die billige Android-TV-Geräte besitzen, ist dies jedoch die Realität.
Im Januar Sicherheitsforscher Daniel Milisic entdeckt dass eine billige Android-TV-Streaming-Box namens T95 direkt nach dem Auspacken mit Malware infiziert war mehrere andere Forscher Bestätigung der Erkenntnisse. Aber es war nur die Spitze des Eisbergs. Heute Cybersicherheitsunternehmen Human Security enthüllt neue Details über das Ausmaß der infizierten Geräte und das verborgene, miteinander verbundene Netz von Betrugsmaschen, die mit den Streaming-Boxen verbunden sind.
Laut einem exklusiv mit WIRED geteilten Bericht haben Forscher von Human Security sieben Android-TV-Boxen und ein Tablet mit installierten Hintertüren gefunden und Anzeichen von 200 verschiedenen Modellen von Android-Geräten gesehen, die möglicherweise betroffen sind. Die Geräte befinden sich in Haushalten, Unternehmen und Schulen in den gesamten USA. Mittlerweile hat Human Security nach eigenen Angaben auch Werbebetrug im Zusammenhang mit dem Plan beseitigt, was wahrscheinlich dazu beigetragen hat, die Operation zu finanzieren.
„Sie sind wie ein Schweizer Taschenmesser, wenn es darum geht, im Internet schlimme Dinge zu tun“, sagt Gavin Reid, CISO bei Human Security und Leiter des Satori Threat Intelligence and Research-Teams des Unternehmens. „Dies ist eine wirklich verteilte Art des Betrugs.“ Reid sagt, das Unternehmen habe den Strafverfolgungsbehörden Einzelheiten zu Einrichtungen mitgeteilt, in denen die Geräte möglicherweise hergestellt wurden.
Die Forschung von Human Security ist in zwei Bereiche unterteilt: Badbox, das sich mit den kompromittierten Android-Geräten und deren Beteiligung an Betrug und Cyberkriminalität befasst. Und die zweite, „Peachpit“ genannte Aktion, ist eine ähnliche Werbebetrugsoperation, an der mindestens 39 Android- und iOS-Apps beteiligt sind. Google gibt an, die Apps aufgrund der Recherchen von Human Security entfernt zu haben, während Apple angibt, bei mehreren der ihm gemeldeten Apps Probleme festgestellt zu haben.
Zuerst Badbox. Günstige Android-Streaming-Boxen, die normalerweise weniger als 50 US-Dollar kosten, werden online und in stationären Geschäften verkauft. Diese Set-Top-Boxen tragen häufig kein Markenzeichen oder werden unter anderen Namen verkauft, wodurch ihre Herkunft teilweise verschleiert wird. In der zweiten Hälfte des Jahres 2022 haben die Forscher von Human Security in ihrem Bericht eine Android-App entdeckt, die offenbar mit nicht authentischem Datenverkehr in Verbindung stand und mit der Domain flyermobi.com verbunden war. Als Milisic seine ersten Erkenntnisse darüber veröffentlichte T95 Android-Box im Januar, deutete die Untersuchung auch auf die Flyermobi-Domain hin. Das Team von Human kaufte die Box und mehrere andere und begann mit dem Eintauchen.
Insgesamt bestätigten die Forscher acht Geräte mit installierten Hintertüren – sieben TV-Boxen, T95, T95Z, T95MAX, X88, Q9, X12PLUS und MXQ Pro 5G sowie ein Tablet J5-W. (Einige davon wurden auch von identifiziert andere Sicherheitsforscher sich mit dem Problem befassen in den letzten Monaten). In dem Bericht des Unternehmens, dessen Hauptautorin die Datenwissenschaftlerin Marion Habiby ist, heißt es, dass Human Security weltweit mindestens 74.000 Android-Geräte mit Anzeichen einer Badbox-Infektion entdeckt hat – darunter einige in Schulen in den USA.