Тисячі Android-пристроїв мають китайський бекдор Triada
Дешеві пристрої Android TV для потокового відео та десятки програм для Android та iOS мають інстальований бекдор Triada від китайських шахраїв. Про це пише The Wired.
Ще у січні дослідник безпеки Деніел Мілішич виявив, що дешевий потоковий пристрій Android TV T95 був заражений шкідливим програмним забезпеченням прямо з коробки.
Минулого тижня компанія з кібербезпеки Human Security повідомила про масштаби зараження пристроїв та таємну мережу шахрайських схем.
Дослідники знайшли 7 приставок Android TV та планшет із бекдорами. За їхніми даними, 200 різних моделей пристроїв на Android, які встановлені в будинках, компаніях і школах в США, мають це шкідливе ПЗ.
Дослідження Badbox стосується скомпрометованих пристроїв Android і того, як вони задіяні в кіберзлочинах. Google вже заявив, що видалив згадані програми після дослідження Human Security, Apple також виявила проблеми в кількох програмах, про які їй повідомили.
Badbox: чим небезпечні дешеві ноунейм-пристрої для Android TV
Дешеві китайські пристрої для потокового відео Android TV вартістю до $50 продаються будь-де, зазвичай без бренду чи під маловідомими брендами.
Human Security повідомляє, що близько року тому зареєстрували неавтентичний трафік на домен flyermobi.com від одного з Android-застосунків. В дослідженні Мілішича про T95 Android box теж згадується цей домен.
Наявність бекдорів підтверджено на 8 китайських пристроях: 7 ТБ-приставках T95, T95Z, T95MAX, X88, Q9, X12PLUS і MXQ Pro 5G та планшеті J5-W. Щонайменше 74 тис. пристроїв на Android мають ознаки зараження Badbox.
Прошивку з бекдором на ці приставки встановлюють до постачання торговим посередникам.
Це так звана Triada, вперше описана ще Kaspersky в 2016 році. Triada змінює один елемент ОС Android та отримує доступ до ПЗ на пристрої. Коли користувач вмикає приставку вдома, вона самостійно звертається до системи керування у Китаї, завантажує набір інструкцій і починає свою роботу.
Які шахрайські схеми пов’язані з Triada на Android TV
Human Security нарахувала наступні типи шахрайства через зламані пристрої:
- рекламне шахрайство;
- домашні проксі-послуги: група, що стоїть за схемою, продає доступ до вашої домашньої мережі;
- створення підроблених облікових записів Gmail і WhatsApp за допомогою підключень;
- дистанційне встановлення коду.
Шахраї продавали доступ до приватних мереж, стверджуючи, що мають доступ до понад 10 млн домашніх IP-адрес і 7 млн мобільних IP-адрес.
Інша дослідницька компанія Trend Micro стверджує, що всього у світі може бути 20 млн заражених пристроїв, причому до 2 млн пристроїв у будь-який момент часу знаходяться онлайн.