数万国产Android电视盒子设备被发现预装了后门

安全公司 Human Security 于2023年10月04日发布安全报告称，数万台不同型号的安卓电视盒子被预装了恶意软件。

根据Human Security的Satori威胁情报和研究团队这份报告，这些电视盒子普遍存在两个后门：Badbox 和 Peachpit。

安全研究人员目前识别到八款被植入了后门的设备，其中七款是电视盒子，而另外一款是平板电脑，数量已达7.4万。

这些设备主要用于广告欺诈和住宅代理服务，安全人员评估认为达千万个家庭 IP 地址和七百万个移动 IP 地址被控制。

这也就意味着全球已有多达两千万台设备遭感染，且任何时间节点都有两百万台设备在线，被背后的组织牢牢掌控。

测试发现，被植入后门的电视盒子型号如下：

1. Q9

2. T95

3. X88

4. T95Z

5. J5-W

6. T95MAX

7. X12PLUS

8. MXQ Pro 5G

其中，型号为T95的电视盒子已然成为了受感染的重灾区，被不同安全厂商和不同安全专家检测到了植入恶意软件。

Human Security 在报告中指出，该公司安全人员于2022年下半年时就在电视盒子里发现了一款恶意安卓应用程序。

_{图源 github}

2023年01月，加拿大基础设施和安全系统顾问Daniel Milisic在他通过亚马逊购买的T95电视盒子上发现了恶意软件。

2023年02月，美国网络安全公司Malwarebytes的安全研究人员认定其购买的T95电视盒子上被人预装特制恶意软件。

为什么山寨电视盒子被植入后门

根据分析报告，这些电视盒子采用Android 开源项目(免费的AOSP)，这也是为什么这些电视盒子被预装后门的原因。

由于 AOSP 属于免费开源的源代码，因此生产者可以自由修改盒子程序甚至植入很多用户想不到的东西而不被发现。

也正是如此，这些盒子开机后的画面和和谷歌认证的 Google TV 或 Android TV 完全不同，但其也被称为安卓盒子。

植入后门的电视盒子的危害探讨

被植入后门的电视盒子联网后，内置的恶意软件会自动连接C2服务器，之后根据获取的指令在设备上执行恶意活动。

其中包括广告欺诈、创建虚假WhatsApp和Gmail帐户、出售家庭网络访问权限以及安装远程代码等常规的恶意操作。

非常规的是通过应用程序内显示隐藏广告获得收益，更极端的则是被幕后黑手当做肉鸡用于组建恶意软件僵尸网络。

如Human Security重点关注的 Peachpit 恶意软件能通过广告欺诈组件启动欺骗性网络流量、隐藏广告和恶意广告。

不过Peachpit 恶意软件的危害性小于Badbox，研究人员发现39个iOS、Android和电视盒子应用程序包含 Peachpit。

Peachpit 是39个以Android、iOS和CTV为中心的应用集合，每个应用程序都包含与假SSP(供应方平台)硬编码连接。

该连接将一段JavaScript代码添加到应用程序的WebView中，获取设备的详细信息应用程序在启动广告之前来运行。

值得注意的是，Peachpit 恶意软件能够同时在Android和iOS设备上运行，而 Badbox 则仅仅针对的是Android设备。

Human Security发现，Peachpit 感染的121000台安卓设备和159000台iOS设备平均每天处理的广告请求达40亿次。

这些被植入后门的电视盒子无论国内海外海外都有不错的销量，被贴上不同的牌子后广泛用于家庭、企业乃至学校。

趋势科技的安全研究人员对于这些数据的可信度表示认可，Google 和苹果已经移除了安全研究人员发现的关联应用。

如何预防植入后门的电视盒子

没有买卖就没有伤害，防御后门电视盒子的最好办法就是从正规厂商哪里购买正规的电视盒子，拒绝山寨从我做起。

当然，这并不代表正规盒子就不存在问题，毕竟国内已经发生过多起投诉知名电视盒子占用上行带宽、偷费的案例。

综合来看这事儿好像是无解了，但相信正规厂商终归是没错的，毕竟山寨盒子不仅不安全可能还有随时跑路的风险。

参考材料：

https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf

https://arstechnica.com/security/2023/10/thousands-of-android-devices-come-with-unkillable-backdoor-preinstalled/