当你购买电视流媒体盒时，有些事情是你不会想到它会做的。它不应该偷偷植入恶意软件，也不应该一开机就开始与中国的服务器通信。它绝对不应该充当有组织犯罪计划中的一个节点，通过欺诈赚取数百万美元。然而，对于成千上万拥有廉价Android电视设备的不明真相者来说，这就是现实。

今年 1 月，安全研究人员丹尼尔-米利西奇（Daniel Milisic）发现，一款名为 T95 的廉价Android电视流媒体盒子在开箱后就感染了恶意软件，其他多名研究人员也证实了这一发现。但这只是冰山一角。本周，网络安全公司 Human Security （人类安全）披露了有关受感染设备范围的新细节，以及与流媒体盒子有关的隐藏的、相互关联的欺诈计划网络。

人类安全公司的研究人员发现七台Android电视盒和一台平板电脑安装了后门，他们还发现有 200 种不同型号的Android设备可能受到影响。这些设备遍布美国的家庭、企业和学校。与此同时，人类安全公司表示，它还查处了与该计划有关的广告欺诈行为，这很可能有助于支付该行动的费用。

人类安全公司的 CISO 加文-里德（Gavin Reid）说："他们就像一把在互联网上干坏事的瑞士军刀。这是一种真正的分布式欺诈方式。"里德说，公司已经与执法机构分享了可能制造这些设备的设施的详细信息。

人类安全公司的研究分为两个领域： Badbox，涉及被入侵的Android设备以及它们参与欺诈和网络犯罪的方式。第二个领域被称为 Peachpit，是一个相关的广告欺诈行动，涉及至少 39 个Android和 iOS 应用程序。Google表示，在人类安全公司的研究之后，它已经删除了这些应用程序，而苹果则表示，它已经在向其报告的几个应用程序中发现了问题。

首先是 Badbox。廉价的Android流媒体盒通常售价不到 50 美元，在网上和实体店有售。这些机顶盒通常没有品牌或以不同的名称出售，部分掩盖了其来源。人类安全公司在其报告中称，2022oQUUloh 年下半年，其研究人员发现了一个Android应用程序，该应用程序似乎与不真实的流量相连，并连接到 flyermobi.com 域名。米利西奇在今年 1 月发布关于 T95 Android盒子的初步发现时，研究也指向了 flyermobi 域名。人类公司的团队购买了这个盒子和其他多个盒子，并开始深入研究。

研究人员总共确认了八款安装了后门的设备--七款电视盒、T95、T95Z、T95MAX、X88、Q9、X12PLUS 和 MXQ Pro 5G，以及一款平板电脑 J5-W。(最近几个月，其他安全研究人员也发现了其中一些问题）。该公司的报告由数据科学家玛丽恩-哈比比（Marion Habiby）担任主要作者，报告称人类安全公司在全球发现了至少 74,000 台显示 Badbox 感染迹象的Android设备，其中包括美国学校中的一些设备。

这些电视设备是在中国制造的。在它们到达转售商手中之前的某个地方，研究人员并不清楚在哪里添加了固件后门。这个后门基于安全公司卡巴斯基在2016年首次发现的Triada恶意软件，它修改了Android操作系统的一个元素，允许自己访问设备上安装的应用程序。然后，它就会打电话回家。里德说："在用户不知情的情况下，当你把这个东西插上电源后，它就会进入中国的一个指挥和控制（C2）系统，下载指令集，然后开始做一些坏事。"

人类安全公司追踪了与被入侵设备有关的多种类型的欺诈行为。其中包括广告欺诈；住宅代理服务，即幕后团伙出售家庭网络访问权；利用连接创建虚假的 Gmail 和 WhatsApp 账户；以及远程代码安装。该公司的报告称，幕后黑手在商业上出售住宅网络的访问权限，他们声称可以访问 1000 多万个家庭 IP 地址和 700 多万个移动 IP 地址。

这些发现与其他研究人员和正在进行的调查相吻合。安全公司趋势科技（Trend Micro）的高级威胁研究员费奥多尔-亚罗奇金（Fyodor Yarochkin）说，该公司已经发现有两个中国威胁组织使用了被后门的Android设备，一个是它深入研究过的，另一个是人类安全公司调查过的。"设备的感染情况非常相似，"Yarochkin 说。

趋势科技在中国为它调查的那个组织找到了一家"前端公司"。他说："他们声称，他们在全球有超过 2000 万台设备受到感染，任何时候都有多达 200 万台设备在线。根据趋势科技的网络数据，"Yarochkin 认为这些数字是可信的。"在欧洲的某个博物馆里甚至都有受影响的一台平板电脑，相信可能有成片的Android系统受到了影响，包括汽车里的系统，他们很容易渗透到供应链中，而对于制造商来说，这确实很难察觉。"

还有人类安全公司所说的 Peachpit，这是一种基于应用程序的欺诈行为，既出现在电视盒子上，也出现在Android手机和iPhone上。该公司发现有 39 个Android、iOS 和电视盒子应用程序涉及其中。该公司的安全研究员若昂-桑托斯（Joao Santos）说："这些都是基于模板的应用程序，质量并不高。"

这些应用程序实施了一系列欺诈行为，包括隐藏广告、欺骗网络流量和恶意广告。研究称，虽然 Peachpit 的幕后黑手似乎与 Badbox 的幕后黑手不同，但他们很可能以某种方式合作。桑托斯说："他们有一个负责广告欺诈的 SDK，我们发现这个 SDK 的一个版本与 Badbox 上投放的模块名称相匹配，"他指的是一个软件开发工具包。"这是我们发现的另一层联系。"

人类安全公司的研究称，涉案广告每天发出 40 亿次广告请求，12.1 万台Android设备和196世界之最 15.9 万台 iOS 设备受到影响。据研究人员计算，Android 应用程序的下载总量达到了 1500 万次。根据公司掌oQUUloh握的数据（由于广告行业的复杂性，这些数据并不全面），幕后黑手仅在一个月内就能轻松赚取 200 万美元。

Google发言人埃德-费尔南德斯（Ed Fernandez）证实，"人类安全"公司报告的 20 个Android应用程序已从 Play Store 下架。费尔南德斯说："被发现感染Badbox的非品牌设备都不是经过Play Protect认证的Android设备，"他指的是Google针对Android设备的安全测试系统。"如果设备没有通过 Play Protect 认证，Google就没有安全和兼容性测试结果记录。"该公司有一份经过认证的 Android TV 合作伙伴名单。苹果发言人 Archelle Thelemaque 表示，苹果发现 Human 报告的应用程序中有 5 款违反196世界之最了苹果的指导原则，并给了开发者 14 天时间让他们遵守规则。截至发稿时，其中四款已经做到了这一点。

里德说，在 2022 年底和今年上半年，人类安全公司对 Badbox 和 Peachpit 的广告欺诈行为采取了行动。根据该公司提供的数据，目前来自这些计划的欺诈性广告请求数量已经完全下降。但是，攻击者实时适应了这种干扰。桑托斯说，刚开始部署反制措施时，那些幕后黑手先是发送更新来混淆视听。他说，随后，Badbox 的幕后黑手摧毁了为固件后门提供动力的 C2 服务器。

虽然攻击者的行动已经放缓，但这些盒子仍在人们的家中和网络上。除非有人具备技术技能，否则恶意软件很难被清除。"你可以把这些'Badbox'看作是一种潜伏细胞。它们就在那里等待指令集，"里德说。最后，对于购买电视流媒体盒的人来说，www.196nk.cn建议购买品牌设备，因为制造商是明确的，值得信赖的。因为"朋友不会让朋友把奇怪的物联网设备接入他们的家庭网络"。

阅读安全报告全文：

https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf