Евтините кутии за стрийминг на телевизия изглеждат като едни от най-простите джаджи, но те могат да бъдат свързани със скрити проблеми. През 2023 г. изследователи разкриха, че десетки хиляди телевизионни кутии с Android, използвани в домове, училища и предприятия, са оборудвани с тайни задни вратички, които позволяват използването им в множество киберпрестъпления и онлайн измами. Сега същите изследователи са установили, че базираната в Китай екосистема, която стои зад компрометираните устройства и незаконните дейности, за които се използват - колективно наречена Badbox 2.0 - кампания от следващо поколение, която е по-широка по обхват и още по-хитра.

Според ново проучване, предоставено ексклузивно на сайта WIRED от фирмата за киберсигурност Human Security, най-малко 1 милион телевизионни стрийминг кутии, таблети, проектори и системи за развлечение в автомобили след продажба са заразени със злонамерен софтуер, който ги включва в контролирана от измамници ботнет мрежа. Компрометираните устройства се използват за редица рекламни измами и в т.нар. домашни прокси услуги, които позволяват на операторите им да използват интернет връзките на жертвите за маршрутизиране и маскиране на уеб трафика. Цялата тази дейност се извършва на заден фон, без собствениците на компрометираните устройства да имат представа как се използват техните стрийминг кутии.

„Всичко това е напълно неизвестно за потребителите, които са си купили това устройство, за да гледат Netflix или нещо друго“, казва пред WIRED Гавин Рийд, главен служител по информационна сигурност на Human. „Рекламните измами, включително измамите с кликвания, се случват зад кулисите, но основният начин, по който те печелят от милионите устройства, е препродажбата на тази прокси услуга. Жертвите не знаят, че са прокси, и никога не са се съгласявали да бъдат прокси услуга, но се използват за това. Тези прокси услуги са помощно средство за всякакъв вид злонамерени действия.“

Изследователите са установили, че по-голямата част от заразените устройства се намират в Южна Америка, по-специално в Бразилия. Засегнатите устройства често използват генерични имена и не са произведени от известни марки. Например има десетки засегнати стрийминг кутии, но повечето цели на Badbox 2.0 са от фамилиите устройства TV98 и X96. На практика всички целеви устройства са проектирани с помощта на кода на операционната система Android с отворен код, което означава, че работят с версии на Android, но не са част от екосистемата от защитени устройства на Google.

Въпреки това Google си сътрудничи с киберекспертите, за да се справи с компонента на дейността, свързан с рекламните измами. Компанията твърди, че е работила за прекратяване на акаунтите на издателите, свързани с измамите, и за блокиране на възможността тези акаунти да генерират приходи чрез рекламната екосистема на Google.

„Злонамерените атаки като описаната в този доклад са изрично забранени на нашите платформи“, заяви в изявление за WIRED говорителят на Google Нейт Фанкхаузър. „Тактиките на злонамерените играчи непрекъснато се развиват. Партньорството с организации като HUMAN ни помага да споделяме информация за заплахите и разширява колективната ни способност да идентифицираме и предприемаме бързи действия срещу лошите актьори, както направихме тук.“

В първоначалната кампания Badbox хакерите се фокусираха върху инсталирането на заден фърмуер в стрийминг кутиите, преди те да попаднат в ръцете на потребителите. Според изследователите кампанията Badbox 2.0 е значителна, тъй като отразява сериозна промяна в тактиката. Вместо да се фокусира върху инфекции на ниско ниво на фърмуера, Badbox 2.0 включва по-традиционен зловреден софтуер, разпространяван чрез общи тактики като drive-by изтегляния, при които жертвите случайно изтеглят зловреден софтуер, без да разберат това.

Снимка: Unsplash

Виж още: Това устройство ще ви позволи да опитате торта във виртуална реалност