Milhões de caixas de TV Aliexpress têm um backdoor secreto usado por golpistas

Pelo menos 1 milhão de dispositivos Android fabricados por marcas pouco conhecidas e vendidos em mercados online chineses estão infectados com malware que os transforma em uma botnet controlada por fraudadores, de acordo com um estudo da empresa de segurança cibernética Human Security. Os dispositivos são infectados usando aplicativos e firmware maliciosos, ou mesmo na fase de produção.

Fonte da imagem: Mika Baumeister / unsplash.com

Conforme relata a Wired, a rede de cibercriminosos Badbox, que ganhou destaque em 2023 por implantar backdoors secretos em dezenas de milhares de caixas de Android TV usadas em residências, escolas e empresas, lançou uma campanha de última geração, a Badbox 2.0, que é maior em escopo e ainda mais inventiva.

Caixas de streaming de TV, tablets, projetores e sistemas de infoentretenimento automotivos infectados são usados ​​por invasores para fraude de anúncios ou como parte de um serviço de proxy para rotear e disfarçar o tráfego da web. Além disso, os proprietários de dispositivos comprometidos nem sequer suspeitam.

Segundo o estudo, a maioria dos dispositivos infectados está localizada na América do Sul, principalmente no Brasil. Em particular, dezenas de caixas de streaming de TV foram infectadas, mas o backdoor Badbox 2.0 foi distribuído principalmente nas famílias de dispositivos TV98 e X96, que são amplamente representadas, por exemplo, no Aliexpress. Quase todos os dispositivos alvo usam Android de código aberto, o que significa que eles executam versões do Android que não fazem parte do ecossistema de dispositivos seguros do Google.

O Google disse que trabalhou com pesquisadores para remover contas de editores vinculadas à fraude e impedir que essas contas gerassem receita por meio do ecossistema de publicidade do Google.

O projeto Badbox 2.0 usa malware tradicional distribuído por meio de, por exemplo, downloads drive-by, onde um usuário acidentalmente baixa malware sem perceber.

Pesquisadores de diversas empresas acreditam que a campanha atual está sendo realizada por vários grupos de criminosos cibernéticos, cada um com suas próprias versões do backdoor Badbox 2.0 e módulos maliciosos, e distribuindo o software de maneiras diferentes.

Por exemplo, os invasores criam um programa inofensivo, o mesmo jogo, colocam-no na loja Google Play para mostrar que é verificado, mas depois enganam os usuários para que baixem versões quase idênticas do aplicativo, mas já maliciosas, e não de lojas de software oficiais.

«“A escala da operação é enorme”, disse Fyodor Yarochkin, pesquisador sênior de ameaças da Trend Micro. Muitos dos grupos envolvidos na campanha de malware parecem ter vínculos com empresas chinesas de publicidade e marketing do mercado cinza, disse ele. A Human, a Trend Micro e o Google também supostamente trabalharam com o grupo de segurança de internet Shadow Server para derrubar a infraestrutura do Badbox 2.0 o máximo possível.

«Como consumidor, você deve se lembrar de que, se um dispositivo for muito barato, você deve estar preparado para o fato de que ele pode ter algumas “surpresas” adicionais escondidas nele, diz o especialista. “Não existe almoço grátis.”