Миллионы ТВ-приставок с Aliexpress имеют секретный бэкдор, используемый мошенниками

Масштабная киберпреступная операция Badbox 2.0 превратила не менее миллиона дешевых Android-устройств малоизвестных брендов в скрытый ботнет. В отличие от прошлогодней кампании, новая волна атак затронула не только ТВ-приставки, но и планшеты, проекторы и даже автомобильные мультимедийные системы. По данным экспертов по кибербезопасности, жертвы, приобретающие гаджеты на китайских торговых площадках, фактически получают устройство с предустановленным «трояном», который работает на их же интернет-канале, принося доход мошенникам.

Как дешевый гаджет превращается в оружие кибермошенников

Исследователи из Human Security, Trend Micro и Google выявили, что заражение происходит на нескольких этапах. Чаще всего вредоносное ПО вшивается прямо в прошивку на стадии производства или загружается через поддельные приложения. Злоумышленники размещают в официальном магазине Google Play безобидную игру или утилиту, получая «зеленый свет» от систем проверки, а затем обманным путем направляют пользователя на загрузку вредоносной версии со сторонних сайтов.

Скрытая работа ботнета: от рекламного мошенничества до прокси-сервисов

Попав в сеть, устройство выполняет две основные задачи. Первая — классическое мошенничество с рекламой: гаджет в фоновом режиме имитирует клики и просмотры, накручивая бюджет рекламодателей. Вторая — более изощренная: смартфон или приставка становятся частью прокси-сервиса. Через них преступники маршрутизируют свой трафик, маскируя реальное местоположение и обходя блокировки. Владелец устройства не замечает ничего подозрительного, кроме, возможно, незначительного замедления работы и повышенного расхода трафика.

География атак и «слепые зоны» экосистемы Android

Эпицентр заражений пришелся на Южную Америку, особенно на Бразилию. Наибольшее количество скомпрометированных устройств относится к семействам TV98 и X96 — недорогим ТВ-приставкам, которые массово продаются на AliExpress. Ключевая уязвимость кроется в том, что эти гаджеты работают на открытой версии Android (AOSP) и не проходят сертификацию Google. Они лишены встроенных механизмов защиты Google Play Protect и не получают своевременных обновлений безопасности, что делает их идеальной мишенью.

Роль «серого рынка» и разделение труда в преступной сети

Аналитики отмечают, что Badbox 2.0 — это не работа одной хакерской группы, а целая экосистема. В ней участвуют несколько независимых киберпреступных команд, каждая из которых использует свою модификацию бэкдора и собственные методы распространения. Фёдор Ярочкин из Trend Micro подчеркивает, что многие из этих групп, по всей видимости, связаны с китайскими рекламными и маркетинговыми фирмами, работающими в «серой» зоне. Координация между злоумышленниками позволяет им быстро адаптироваться к мерам защиты.

Google уже отреагировала, заблокировав учетные записи издателей, замешанных в мошенничестве, и лишив их возможности получать доход через свою рекламную сеть. Крупные игроки индустрии, включая Human Security и Shadow Server, объединили усилия для нейтрализации серверной инфраструктуры ботнета.

За год, прошедший с момента обнаружения первой версии Badbox, схема не только не исчезла, но и многократно усложнилась. Если изначально атаки ограничивались ТВ-приставками, то теперь в орбиту злоумышленников попали практически все типы недорогих Android-устройств. Это говорит о том, что проблема носит системный характер: производители экономят на безопасности, а торговые площадки не проводят должной проверки. Пока потребитель гонится за низкой ценой, он рискует не только своими данными, но и пропускной способностью своего интернет-канала, который арендуют киберпреступники. Эксперты напоминают: «Бесплатный сыр бывает только в мышеловке» — и призывают с осторожностью относиться к гаджетам, стоимость которых подозрительно низка.