В начале текущего года независимый ИБ-исследователь Даниэль Милишич (Daniel Milisic) обнаружил, что на Amazon продаются Android-приставки T95, прямо «из коробки» зараженные сложной малварью. Теперь это исследование продолжили специалисты компании Human Security, и выяснилось, что бэкдоры содержат семь приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.
Отчет Human Security разделен на две основных части. Раздел Badbox касается зараженных Android-устройств и их участия в различных мошеннических схемах. Вторая часть, получившая название Peachpit, рассказывает о связанном рекламном мошенничестве, в котором задействовано как минимум 39 приложений для Android и iOS.
Все началось с того, что во второй половине 2022 года исследователи обнаружили приложение для Android, которое демонстрировало подозрительный трафик и подключалось к домену flyermobi.com. В январе 2023 года Милишич опубликовал свое исследование приставки T95, где тоже упоминался этот домен. После этого команда Human Security приобрела эту приставку, а также несколько других девайсов и приступила к их изучению.
В общей сложности исследователи обнаружили восемь устройств с установленными бэкдорами: приставки T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G, а также планшет J5-W. Причем некоторые из них были замечены и другими исследователями, изучавшими эту проблему в последние месяцы.
Суммарно Human Security выявила не менее 74 000 Android-устройств с признаками заражения Badbox по всему миру, в том числе в домах, на предприятиях и в школах на территории США.
Такие устройства производятся в Китае, и перед тем как они попадают в руки реселлеров, в их прошивку добавляется бэкдор. При этом неизвестно, на каком этапе цепочки поставок происходит компрометация. В посвященной Badbox части отчета эксперты отмечают, что бюджетные Android-приставки для потокового видео (как правило, стоимостью менее 50 долларов) зачастую продаются под разными брендами или вообще его не имеют, так что проследить их происхождение и цепочку поставок может быть затруднительно.
По словам специалистов, обнаруженный бэкдор основан на мобильной малвари Triada, впервые обнаруженной в 2016 году «Лабораторией Касперского». Этот вредонос модифицирует один из элементов ОС Android, получая доступ к установленным на устройстве жертвы приложениям, а после связывается со своими операторами.
«Когда пользователь подключает такое устройство, оно связывается со своим управляющим сервером в Китае, загружает оттуда набор инструкций и начинает делать кучу плохих вещей, — пишут исследователи. — Это как швейцарский нож для совершения пакостей в интернете».
Экспертам удалось отследить несколько видов мошенничества, связанных со взломанными устройствами. Например, зараженные гаджеты используются в рекламном мошенничестве, в качестве резидентных прокси, применяются для создания фейковых учетных записей Gmail и WhatsApp, а также для удаленной установки малвари.
Злоумышленники продают доступ к скомпрометированным домашним сетям своих жертв другим преступникам, заявляя, что сейчас имеют доступ примерно к 10 млн домашних IP-адресов и 7 млн мобильных IP-адресов.
Выводы специалистов совпадают с результатами других расследований, как завершившихся, так и еще ведущихся. К примеру, специалист Trend Micro Федор Ярочкин сообщает, что его компания сталкивалась с двумя китайскими хак-группами, которые использовали Android-устройства с предустановленными бэкдорами. Одна из них, Lemon Group, уже неплохо изучена аналитиками Trend Micro, а другая — та, за изучение которой взялись специалисты Human Security.
По словам Ярочкина, Trend Micro выявила группу в Китае, которая утверждала, что под ее контролем находятся более 20 млн зараженных устройств по всему миру, причем до 2 млн из них находились в сети и были активны в любой момент времени. Один из зараженных планшетов вообще обнаружился в неназванном европейском музее.
Ярочкин говорит, что не исключено, что заражению подвергались и другие Android-системы, в том числе в автомобилях. «[Хакерам] очень легко проникнуть в цепочку поставок, а производителям очень сложно это обнаружить», — объясняет эксперт.
Что касается упомянутой выше мошеннической схемы Peachpit, она строится вокруг мобильных приложений, которые присутствовали как на Android-приставках, так и на телефонах под управлением Android и iOS.
Суммарно компания выявила 39 вредоносных приложений для Android, iOS и приставок. В основном это оказались шаблонные приложения не очень высокого качества, среди которых были решения для фитнеса и подсчета выпитой воды. Эти приложения выполняли целый ряд мошеннических действий, включая показы скрытой и вредоносной рекламы (через скрытый WebView), а также спуфинг трафика. По подсчетам исследователей, только приложения для Android были суммарно загружены более 15 млн раз.
Хотя разработчики Peachpit, судя по всему, не являются разработчиками Badbox, авторы исследования утверждают, что эти группы взаимодействуют между собой.
«У них есть SDK, который предназначен для рекламного мошенничества, и мы обнаружили версию этого SDK, совпадающую с названием модуля, который устанавливался на Badbox. Это только одна из связей, которую мы выявили», — сообщают в Human Security.
По данным исследователей, с рекламными объявлениями этой кампании связано более 4 млрд рекламных запросов в день, которые затрагивают 121 000 устройств под управлением Android и 159 000 устройств под управлением iOS. То есть по самым скромным подсчетам, участники этой схемы могут зарабатывать до 2 млн долларов за месяц.
Представители Google сообщают, что все 20 приложений для Android, которые обнаружили исследователи Human Security, уже удалены из Google Play Store. Что касается устройств с бэкдорами Badbox, в компании отметили, что эти устройства «не были сертифицированы Play Protect».
В свою очередь, представители Apple заявили, что пять приложений из тех, о которых сообщили исследователи, нарушали правила компании, и разработчикам было дано 14 дней, чтобы устранить эти нарушения. В данный момент разработчики четырех из пяти приложений уже это сделали.
В заключение эксперты Human Security сообщают, что с конца 2022 года они предприняли ряд мер, направленных против Badbox и Peachpit, а также передали все собранные данные правоохранительным органам. В результате к настоящему моменту эти мошеннические схемы практически прекратили свою работу.
Исследователи подчеркивают, что злоумышленники адаптировались к их вмешательству в режиме реального времени: сначала они активно распространяли обновления, которые помогали им скрывать свои действия, а затем операторы Badbox вообще отключили управляющие серверы, обеспечивавшие работу бэкдора.
Несмотря на это, зараженные устройства по-прежнему работают во многих домах и организациях по всему миру. Эксперты предупреждают, что удалить с них малварь будет крайне сложно, поэтому такие дейвайсы следует рассматривать как «спящую» угрозу, которая попросту ждет нового набора инструкций.
Равно как и Даниэль Милишич, исследователи рекомендуют людям, покупающим Android-приставки, приобретать устройства, чей производитель известен и заслуживает доверия, и по возможности отказаться от использования потенциально опасных IoT-гаджетов.
«Любой может случайно купить Badbox-устройство в интернете, даже не подозревая, что это фальшивка, подключить его и неосознанно запустить вредоносное ПО с бэкдором. Это вредоносное ПО может использоваться для кражи личных данных, запуска скрытых ботов, создания резидентных прокси, кражи файлов cookie и одноразовых паролей, а также реализации уникальных мошеннических схем», — предостерегают аналитики.