.
gremlin via Getty Images
Quando você compra uma caixa de streaming de TV, há certas coisas que você não esperaria que ela fizesse. Ele não deve ser secretamente associado a malware ou começar a se comunicar com servidores na China quando estiver ligado. Definitivamente, não deveria agir como um nó num esquema de crime organizado que ganha milhões de dólares através de fraude. No entanto, essa tem sido a realidade para milhares de pessoas desconhecidas que possuem dispositivos Android TV baratos.
Em janeiro, o pesquisador de segurança Daniel Milisic descobriu que uma caixa barata de streaming de Android TV chamada T95 estava infectada com malware imediatamente, com vários outros pesquisadores confirmando as descobertas. Mas foi apenas a ponta do iceberg. Esta semana, a empresa de segurança cibernética Human Security está revelando novos detalhes sobre o escopo dos dispositivos infectados e a rede oculta e interconectada de esquemas de fraude vinculados às caixas de streaming.
Pesquisadores de segurança humana encontraram sete caixas de Android TV e um tablet com backdoors instalados, e viram sinais de 200 modelos diferentes de dispositivos Android que podem ser afetados, de acordo com um relatório compartilhado exclusivamente com a WIRED. Os dispositivos estão em residências, empresas e escolas nos EUA. Entretanto, a Human Security afirma que também eliminou fraudes publicitárias ligadas ao esquema, o que provavelmente ajudou a pagar a operação.
“Eles são como um canivete suíço que faz coisas ruins na Internet”, diz Gavin Reid, CISO de Segurança Humana que lidera a equipe Satori Threat Intelligence and Research da empresa. “Esta é uma forma verdadeiramente distribuída de cometer fraudes.” Reid diz que a empresa compartilhou detalhes das instalações onde os dispositivos podem ter sido fabricados com as agências de aplicação da lei.
A pesquisa da Human Security é dividida em duas áreas: Badbox, que envolve os dispositivos Android comprometidos e as formas como eles se envolvem em fraudes e crimes cibernéticos. E a segunda, chamada Peachpit, é uma operação de fraude publicitária relacionada envolvendo pelo menos 39 aplicativos Android e iOS. O Google afirma ter removido os aplicativos após a pesquisa da Human Security, enquanto a Apple afirma ter encontrado problemas em vários dos aplicativos relatados a ela.
Primeiro, Badbox. Caixas de streaming Android baratas, geralmente custando menos de US$ 50, são vendidas on-line e em lojas físicas. Esses decodificadores geralmente não têm marca ou são vendidos sob nomes diferentes, obscurecendo parcialmente sua origem. No segundo semestre de 2022, afirma a Human Security em seu relatório, seus pesquisadores detectaram um aplicativo Android que parecia estar vinculado a tráfego não autêntico e conectado ao domínio flyermobi.com. Quando Milisic postou suas descobertas iniciais sobre a caixa Android T95 em janeiro, a pesquisa também apontou para o domínio flyermobi. A equipe da Human comprou a caixa e várias outras e começou a mergulhar.
No total, os pesquisadores confirmaram oito dispositivos com backdoors instalados – sete caixas de TV, T95, T95Z, T95MAX, X88, Q9, X12PLUS e MXQ Pro 5G, e um tablet J5-W. (Alguns deles também foram identificados por outros pesquisadores de segurança que analisaram o problema nos últimos meses). O relatório da empresa, que tem como autora principal a cientista de dados Marion Habiby, diz que a Human Security detectou pelo menos 74.000 dispositivos Android mostrando sinais de infecção por Badbox em todo o mundo – incluindo alguns em escolas nos EUA.
.
