Бэкдор и Android TV, признаки вредоносной активности

Бэкдор и Android TV.

Умники по кибербезопасности обнаружили в приставках и в других гаджетах наглую установку возможности воспользоваться вашим Android TV и не только ими. Признаю, что про одну из устройств имел неосторожность вам упомянуть в статье, хотя имею оправдание, это 2016 год.

Может тогда такое не распространялось, как бегдор или что то посерьезней от хитрюг китайцев, но кто его знает?

Бэкдор и Android TV, так что я знаю.

Эксперт по кибербезопасности Дэниел Милишич (Daniel Milisic) обнаружил, что приставка T95 под управлением Android TV ( Aliexpress) пришла зараженной вредоносным ПО прямо из коробки.

Но это была лишь верхушка айсберга!

Human Security выявила целую теневую сеть, связанную с зараженными устройствами и вредоносными приложениями. Исследователи из Human Security обнаружили семь приставок под Android TV и один планшетный компьютер, которые продаются с предустановленными бэкдорами, и выявили признаки вредоносной активности еще у 200 различных моделей Android-устройств.

Эти устройства используются в домохозяйствах, образовательных учреждениях и на предприятиях. Эксперты сравнили проект со «швейцарским армейским ножом, совершающим нехорошие поступки в интернете».

Схема включает в себя два направления: Badbox — сеть устройств в предустановленными бэкдорами и Peachpit.

Бэкдор и Android TV. что такое бэкдор?

Угроза предоставляет злоумышленникам возможность несанкционированный доступ и дистанционно управлять зараженным устройством жертвы. Иногда разработчики создают их для обхода аутентификации или как дополнительный способ доступа.

Некоторые виды угроз могут быть интегрированы в программу или приложение, в таком случае проникают в систему при установке и активируются после запуска.

Бэкдор и Android TV, что такое Peachpit?

Если коротко, то сеть приложений, посредством которых реализуются мошеннические рекламные схемы.

Направление Badbox (Бэкдор) занято преимущественно дешевыми Android-приставками по цене менее $50, которые продаются в интернете и обычных магазинах.

Они поставляются без торговой марки или продаются под разными названиями, что помогает скрыть их происхождение. Эти устройства генерируют вредоносный трафик, обращаясь к домену Flyermobi.com.

Подтверждены восемь таких устройств: ТВ-приставки T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G, а также планшетный компьютер J5-W.

Human Security обнаружила не менее 74 тыс. зараженных устройств, в том числе в образовательных учреждениях в США.

Все они производятся в Китае!

На одном из этапов на них устанавливается бэкдор, основанный на трояне Triada, который «Лаборатория Касперского» обнаружила еще в 2016 году. Он подменяет один из компонентов Android, предоставляя себе доступ к приложениям, установленным на устройстве.

Бэкдор и Android TV

Бэкдор без ведома пользователя подключается к расположенному в Китае управляющему серверу (C2), загружает набор инструкций и развертывает вредоносную активность.

Human Security установила несколько видов такой активности, как рекламные мошеннические схемы и резидентные прокси.
То есть продажа доступа к сетевым ресурсам жертв — владельцев зараженных устройств, регистрация учетных записей Gmail и WhatsApp, также удаленное выполнение кода.

Стоящие за схемой лица предлагали доступ к своим сетям, утверждая, что у них есть выход на более чем 10 млн домашних и 7 млн мобильных IP-адресов. По версии экспертов Trend Micro, у организаторов схемы более 20 млн зараженных устройств по всему миру, причем 2 млн из них активны в любой момент времени.

Есть основания полагать, что затронуто множество Android-устройств, включая даже автомобили из Китая.

Второе направление носит условное название Peachpit, и связано оно с вредоносными приложениями, которые присутствуют не только на ТВ-приставках, но также добровольно устанавливаются пользователями на Android-телефоны и iPhone.

В основном это шаблонные приложения не очень высокого качества, например, комплексы упражнений, как накачать мышцы пресса, или ПО для записи объемов выпиваемой пользователями воды.

Бэкдор и Android TV, приложения.

В общей сложности выявлены 39 таких приложений для Android, iOS и ТВ-приставок. Параллельно с декларируемыми функциями эти приложения также реализуют мошеннические схемы с рекламой и фальсифицируют трафик. Примечательно, что в этих приложениях обнаружены общие черты с вредоносным ПО, поставляемом на устройствах направления Badbox.

Сеть генерировала до 4 млрд рекламных обращений в день — были задействованы 121 тысяч Android-устройств и 159 тысяч iPhone.
По подсчетам исследователей, только Android-приложения были скачаны в общей сложности 15 млн раз.

Рекламная индустрия имеет достаточно сложную структуру, поэтому полной картины у исследователей нет, но только по имеющимся у них данным операторы схемы могли легко зарабатывать $два миллиона в месяц.

Представитель Google Эд Фернандес (Ed Fernandez) сообщил, что компания удалила из Google Play 20 приложений под Android, на которые указали исследователи Human Security.

Он также рассказал, что устройства с предустановленными бэкдорами не проходили сертификации Play Protect, а значит, у Google отсутствуют данные о результатах тестов безопасности и совместимости, но на сайте Android есть список партнеров.

Представитель Apple Аршель Телемак (Archelle Thelemaque) рассказала, что компания связалась с разработчиками пяти приложений из доклада Human Security — им дали 14 дней на исправление ошибок, и четыре приложения уже не представляют угрозы.

Бэкдор и Android TV, что пользователи?

Результатов в пресечении схем Badbox и Peachpit компании Human Security удалось добиться в конце 2022 года и в первой половине текущего. После первых же действий стоящие за схемами злоумышленники разослали на зараженные устройства обновления, направленные на сокрытие активности.

После этого были отключены серверы C2, обеспечивающие функционирование бэкдора в прошивке. Активность обеих схем кардинально снизилась, но люди продолжают пользоваться этими устройствами.

Без технических навыков удалить это вредоносное ПО очень непросто, и сейчас ТВ-приставки с предустановленными бэкдорами превратились в своего рода спящих агентов.

Потребителям рекомендуется приобретать продукцию, производитель которой известен, и которому они доверяют. Если коротко, Китай как партнер и поставщик продукции опасен, конечно если вас это волнует.

Удачи Друзья!

 

Спасибо, что прочитали этот пост, не забудьте подписаться!

ПОДПИСКА

Подписчики получают знаки внимания от нашего коллектива, как полезную информацию и приятные сюрпризы!

Поделиться этой записью

PinIt

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

scroll to top