Cuando compras una caja de transmisión de TV, hay algunas cosas que no esperas que haga. No debería poder instalar malware subrepticiamente, ni debería comenzar a comunicarse con servidores en China tan pronto como se inicia. Nunca debería servir como nodo en un plan del crimen organizado para ganar millones de dólares mediante fraude. Sin embargo, para las miles de personas desinformadas que poseen dispositivos Android TV baratos, esta es la realidad.
En enero, el investigador de seguridad Daniel Milisic descubrió que una caja de transmisión de TV Android barata llamada T95 estaba infectada con malware nada más sacarla de la caja, un hallazgo confirmado por muchos otros investigadores. Pero esto es sólo la punta del iceberg. Esta semana, la empresa de ciberseguridad Human Security reveló nuevos detalles sobre el alcance de los dispositivos infectados y una red oculta e interconectada de esquemas de fraude vinculados a cajas de transmisión.
Los investigadores de Human Security encontraron siete cajas de TV Android y una tableta con puertas traseras instaladas, y también descubrieron que 200 modelos diferentes de dispositivos Android estaban potencialmente afectados. Estos dispositivos se encuentran en hogares, empresas y escuelas de todo Estados Unidos. Mientras tanto, Human Security dijo que también descubrió fraude publicitario relacionado con el plan, que probablemente ayudó a pagar la operación.
"Son como una navaja suiza para hacer cosas malas en Internet", afirmó Gavin Reid, CISO de Human Security. "Es una forma de fraude verdaderamente distribuida". Reid dijo que la compañía ha compartido detalles con las agencias policiales sobre las instalaciones donde se pudieron haber fabricado los dispositivos.
La investigación de Human Security se divide en dos áreas: Badbox, que involucra dispositivos Android comprometidos y las formas en que pueden estar involucrados en fraude y cibercrimen. La segunda área, conocida como Peachpit, era una operación de fraude publicitario relacionada que involucraba al menos 39 aplicaciones de Android e iOS. Google dijo que había eliminado las aplicaciones luego de una investigación de Human Security, mientras que Apple dijo que había descubierto problemas en varias aplicaciones que se le habían reportado.
El primero es Badbox. Las cajas de transmisión Android baratas suelen costar menos de 50 dólares y están disponibles en línea y en tiendas. Estos decodificadores a menudo no tienen marca o se venden con nombres diferentes, lo que oscurece parcialmente su origen. Human Security dijo en su informe que en la segunda mitad de 2022, sus investigadores descubrieron una aplicación de Android que parecía estar conectada a tráfico no auténtico y al nombre de dominio flyermobi.com. Cuando Milicic publicó sus hallazgos iniciales sobre la caja Android T95 en enero de este año, la investigación también apuntó al nombre de dominio flyermobi. El equipo de Humanity compró esta caja y varias más y comenzó a investigar en ella.
En total, los investigadores identificaron ocho dispositivos con la puerta trasera instalada: siete cajas de TV, T95, T95Z, T95MAX, X88, Q9, X12PLUS y MXQPro5G, y una tableta, la J5-W. (Algunos de estos problemas también han sido descubiertos por otros investigadores de seguridad en los últimos meses). El informe de la compañía, dirigido por la científica de datos Marion Habiby, dijo que Human Security encontró al menos 74.000 dispositivos Android en todo el mundo que mostraban signos de infección Badbox, incluidos algunos en escuelas de Estados Unidos.
Estos televisores se fabrican en China. Los investigadores no saben exactamente dónde se agregó una puerta trasera de firmware en algún lugar antes de llegar a los revendedores. La puerta trasera se basa en el malware Triada descubierto por primera vez por la empresa de seguridad Kaspersky en 2016, que modifica un elemento del sistema operativo Android para permitirse el acceso a las aplicaciones instaladas en el dispositivo. Luego, llama a casa. "Sin que el usuario lo sepa, cuando conectas esta cosa, entra en un sistema chino de comando y control (C2), descarga el conjunto de instrucciones y luego comienza a hacer algunas cosas malas", dijo Reed.
Human Security ha rastreado muchos tipos de fraude relacionados con dispositivos comprometidos. Estos incluyen fraude publicitario; servicios de proxy residencial, donde los grupos venden acceso a redes domésticas; explotar conexiones para crear cuentas falsas de Gmail y WhatsApp; e instalación remota de código. El informe de la compañía dijo que los actores detrás del ataque estaban vendiendo comercialmente acceso a redes residenciales, afirmando que tenían acceso a más de 10 millones de direcciones IP domésticas y más de 7 millones de direcciones IP móviles.
Estos hallazgos son consistentes con otros investigadores e investigaciones en curso. Fyodor Yarochkin, investigador senior de amenazas de la firma de seguridad Trend Micro, dijo que la firma descubrió dos grupos de amenazas chinos que utilizan dispositivos Android con puerta trasera, uno que investigó en profundidad y otro investigado por firmas de seguridad humana. "El perfil de infección de los dispositivos es muy similar", dijo Yarochkin.
Trend Micro encontró una "empresa de fachada" en China para la organización que estaba investigando. "Afirman que tienen más de 20 millones de dispositivos infectados en todo el mundo, con hasta 2 millones de dispositivos en línea en cualquier momento. Según los datos de la red de Trend Micro", Yarochkin cree que esas cifras son creíbles, dijo. "Incluso hay una tableta afectada en un museo en Europa. Creo que puede haber una gran cantidad de sistemas Android afectados, incluidos los sistemas de los automóviles. Pueden penetrar fácilmente en la cadena de suministro y es realmente difícil para los fabricantes detectarlos".
También está lo que Human Security llama Peachpit, un fraude basado en aplicaciones que aparece en cajas de TV, así como en teléfonos Android y iPhone. La compañía encontró involucradas 39 aplicaciones de Android, iOS y TV Box. "Se trata de aplicaciones basadas en plantillas, que no son de alta calidad", afirma Joao Santos, investigador de seguridad de la empresa.
Las aplicaciones llevaron a cabo una serie de prácticas engañosas, como ocultar anuncios, falsificar el tráfico de la red y realizar publicidad maliciosa. Si bien las personas detrás de Peachpit parecen ser diferentes de las que están detrás de Badbox, es probable que trabajaran juntos de alguna manera, según el estudio. "Tienen un SDK que es responsable del fraude publicitario y encontramos una versión de este SDK que coincidía con el nombre del módulo que se ofrece en Badbox", dijo Santos, refiriéndose a un kit de desarrollo de software. "Esa es otra capa de conexión que encontramos".
Según una investigación de Human Security, los anuncios involucrados envían 4 mil millones de solicitudes de publicidad cada día, lo que afecta a 121.000 dispositivos Android y 159.000 dispositivos iOS. Los investigadores calcularon que las aplicaciones de Android se descargaron un total de 15 millones de veces. Según los datos de la empresa (que no son exhaustivos debido a la complejidad del sector publicitario), la persona detrás de la operación podría fácilmente ganar 2 millones de dólares en sólo un mes.
El portavoz de Google, Ed Fernández, confirmó que 20 aplicaciones de Android reportadas por Human Security han sido eliminadas de Play Store. "Ninguno de los dispositivos fuera de marca encontrados infectados con Badbox eran dispositivos Android certificados por PlayProtect", dijo Fernández, refiriéndose al sistema de pruebas de seguridad de Google para dispositivos Android. "Si un dispositivo no tiene la certificación PlayProtect, Google no tiene ningún registro de los resultados de las pruebas de seguridad y compatibilidad". La empresa tiene una lista de socios certificados de Android TV. La portavoz de Apple, Archelle Thelemaque, dijo que Apple descubrió que cinco de las aplicaciones reportadas por Human violaban las pautas de Apple y dio a los desarrolladores 14 días para cumplir con las reglas. Al cierre de esta edición, cuatro de ellos lo han hecho.
Reed dijo que a finales de 2022 y la primera mitad de este año, Human Security tomó medidas contra Badbox y Peachpit por fraude publicitario. Según los datos proporcionados por la empresa, el número de solicitudes de publicidad fraudulenta de estos programas se ha reducido por completo. Sin embargo, los atacantes se adaptan a esta interferencia en tiempo real. Santos dijo que cuando se implementaron las contramedidas por primera vez, quienes estaban detrás del ataque comenzaron a enviar actualizaciones para confundir la situación. Los actores detrás de Badbox luego destruyeron el servidor C2 que alimentaba la puerta trasera del firmware, dijo.
Si bien las operaciones de los atacantes se han ralentizado, las cajas todavía están en los hogares y en línea. El malware es difícil de eliminar a menos que alguien tenga conocimientos técnicos. "Se puede pensar en estas 'Badboxes' como una especie de células durmientes. Simplemente están ahí esperando una serie de instrucciones", dijo Reed. Finalmente, para quienes estén comprando una caja de transmisión de TV, se recomienda comprar un dispositivo de marca, ya que el fabricante es claro y confiable. Porque "los amigos no permiten que sus amigos conecten dispositivos IoT extraños a sus redes domésticas".
Lea el informe de seguridad completo:
https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf