Backdoor perigoso descoberto em descodificadores de TV chineses baratos da Aliexpress

Em janeiro passado, o especialista em segurança cibernética Daniel Milisic descobriu que um decodificador T95 rodando Android TV (vendido, por exemplo, no Aliexpress) foi infectado com malware assim que saiu da caixa. Mas esta foi apenas a ponta do iceberg: a Human Security identificou (PDF) toda uma rede oculta associada a dispositivos infectados e aplicativos maliciosos.

Fonte da imagem: aliexpress.ru

Pesquisadores da Human Security identificaram sete decodificadores Android TV e um tablet que foram vendidos com backdoors pré-instalados e identificaram sinais de atividade maliciosa em outros 200 modelos diferentes de dispositivos Android. Esses dispositivos são usados ​​em residências, instituições educacionais e empresas. Os especialistas compararam o projeto a “um canivete suíço fazendo coisas ruins na Internet”. O esquema inclui duas direções: Badbox – uma rede de dispositivos com backdoors pré-instalados; e Peachpit, uma rede de aplicativos por meio da qual são realizados esquemas fraudulentos de publicidade.

A direção Badbox é ocupada principalmente por decodificadores Android baratos, com preços abaixo de US$ 50, vendidos na Internet e em lojas físicas. Eles não têm marca ou são vendidos com nomes diferentes, o que ajuda a disfarçar sua origem. Esses dispositivos geram tráfego malicioso ao acessar o domínio Flyermobi.com. Oito desses dispositivos foram confirmados: decodificadores T95, T95Z, T95MAX, X88, Q9, X12PLUS e MXQ Pro 5G, bem como o tablet J5-W. A Human Security descobriu pelo menos 74 mil dispositivos infectados, inclusive em instituições de ensino dos Estados Unidos.

Todos eles são fabricados na China e, em um estágio, um backdoor é instalado neles, baseado no Trojan Triada, que a Kaspersky Lab descobriu em 2016 – ele substitui um dos componentes do Android, dando-se acesso aos aplicativos instalados no dispositivo . O backdoor, sem o conhecimento do usuário, conecta-se ao servidor de comando e controle (C2) localizado na China, baixa um conjunto de instruções e implanta atividades maliciosas. A Segurança Humana identificou vários tipos de tais atividades: fraudes publicitárias; proxies residentes, ou seja, a venda de acesso a recursos de rede das vítimas – proprietários de dispositivos infectados; registrar contas do Gmail e WhatsApp; execução remota de código.

As pessoas por trás do esquema ofereceram acesso às suas redes, alegando ter acesso a mais de 10 milhões de endereços IP residenciais e 7 milhões de endereços IP móveis. Segundo especialistas da Trend Micro, os organizadores do esquema têm mais de 20 milhões de dispositivos infectados em todo o mundo, com 2 milhões deles ativos a qualquer momento. Em particular, um tablet foi descoberto num dos museus europeus; Há razões para acreditar que muitos dispositivos Android foram afetados, incluindo até carros.

Fonte da imagem: Gerd Altmann / pixabay.com

Второе направление носит условное название Peachpit, и связано оно с вредоносными приложениями, которые присутствуют не только на ТВ-приставках, но также добровольно устанавливаются пользователями на Android-телефоны и iPhone. В основном это шаблонные приложения не очень высокого качества, например, комплексы упражнений, как накачать мышцы пресса, или ПО для записи объёмов выпиваемой пользователями воды. В общей сложности выявлены 39 таких приложений для Android, iOS и ТВ-приставок. Параллельно с декларируемыми функциями эти приложения также реализуют мошеннические схемы с рекламой и фальсифицируют трафик. Примечательно, что в этих приложениях обнаружены общие черты с вредоносным ПО, поставляемом на устройствах направления Badbox.

A rede gerou até 4 bilhões de solicitações de publicidade por dia – foram envolvidos 121 mil dispositivos Android e 159 mil iPhones. Os pesquisadores estimam que só os aplicativos Android foram baixados um total de 15 milhões de vezes. A indústria da publicidade tem uma estrutura bastante complexa, por isso os investigadores não têm uma imagem completa, mas apenas de acordo com os dados que possuem, os operadores do esquema poderiam facilmente ganhar 2 milhões de dólares por mês.

O porta-voz do Google, Ed Fernandez, disse que a empresa removeu 20 aplicativos Android do Google Play que foram identificados por pesquisadores de Segurança Humana. Ele disse ainda que os dispositivos com backdoors pré-instalados não foram certificados pelo Play Protect, o que significa que o Google não possui dados sobre os resultados dos testes de segurança e compatibilidade, mas há uma lista de parceiros no site do Android. A porta-voz da Apple, Archelle Thelemaque, disse que a empresa contatou os desenvolvedores de cinco aplicativos do relatório de Segurança Humana – eles tiveram 14 dias para corrigir os erros e quatro aplicativos não representam mais uma ameaça.

A Segurança Humana obteve resultados na interrupção dos esquemas Badbox e Peachpit no final de 2022 e no primeiro semestre do corrente ano. Após as primeiras ações, os invasores por trás dos esquemas enviaram atualizações aos dispositivos infectados com o objetivo de ocultar a atividade. Após isso, os servidores C2 que garantiam o funcionamento do backdoor no firmware foram desabilitados. A actividade de ambos os esquemas diminuiu drasticamente, mas as pessoas continuam a utilizar estes dispositivos. Sem habilidades técnicas, remover esse malware é muito difícil, e agora os decodificadores com backdoors pré-instalados tornaram-se uma espécie de agentes adormecidos. Os consumidores são aconselhados a adquirir produtos cujo fabricante conheçam e confiem.