Un nuevo estudio de seguridad ha marcado siete Android TV Box como una puerta trasera a la entrada de malware, comunicación en segundo plano con servidores remotos y mucho más.
La empresa de ciberseguridad Human Security está revelando nuevos detalles sobre el alcance de los dispositivos infectados y la red oculta e interconectada de esquemas de fraude vinculados a las cajas de streaming, tablets y apps para iOS y Android.
Infección en los decos Android
Los investigadores de Human Security encontraron siete cajas de Android TV y una tablet con las puertas traseras instaladas, habiendo visto signos de 200 modelos diferentes de dispositivos Android que pueden verse afectados.
La investigación de Human Security se divide en dos áreas: Badbox, que involucra los dispositivos Android comprometidos y las formas en que están involucrados en fraude y cibercrimen. Y el segundo, denominado Peachpit, es una operación de fraude publicitario relacionada que involucra al menos 39 aplicaciones de Android e iOS. Google dice que eliminó las aplicaciones luego de la investigación de Human Security, mientras que Apple dice que encontró problemas en varias de las aplicaciones que se le informaron.
En cuanto a BadBox, en total, los investigadores confirmaron ocho dispositivos con puertas traseras instaladas: siete Android TV Box, T95, T95Z, T95MAX, X88, Q9, X12PLUS y MXQ Pro 5G, y una tablet, J5-W. Algunos de estos son viejos conocidos que también han sido identificados por otros investigadores de seguridad que han investigado el problema en los últimos meses.
La investigación dice que Human Security detectó al menos 74,000 dispositivos Android que mostraban signos de una infección Badbox en todo el mundo, incluidos algunos en escuelas. Esta puerta trasera, que se basa en el malware Triada detectado por primera vez por la empresa de seguridad Kaspersky en 2016, modifica un elemento del sistema operativo Android, permitiéndose acceder a las aplicaciones instaladas en los dispositivos.
Luego, sin que el usuario lo sepa, cuando conectas uno éste conecta a un servidor de comando y control (C2) en China, descarga un conjunto de instrucciones y comienza a hacer un sinnúmero de cosas malas.
Algunos ejemplos mencionados en el reporte de seguridad incluyen fraude publicitario; servicios de proxy residencial, donde el grupo detrás del plan vende acceso a tu red doméstica; la creación de cuentas falsas de Gmail y WhatsApp utilizando tus conexiones e instalación remota de código.
Malware publicitario en aplicaciones
En cuanto a Peachpit, se trata de un elemento de fraude basado en aplicaciones, que ha estado presente tanto en los televisores como en los teléfonos Android y iPhone, afirma Human Security. La compañía identificó 39 aplicaciones de Android, iOS y TV Box que estuvieron involucradas. «Se trata de aplicaciones basadas en plantillas, de no muy alta calidad», afirma Joao Santos, investigador de seguridad de la empresa. Algunos ejemplos de aplicaciones infectadas eran sobre cómo desarrollar abdominales y registrar la cantidad de agua que bebe una persona.
Las aplicaciones realizaron una variedad de comportamientos fraudulentos, incluidos anuncios ocultos, tráfico web falsificado y publicidad maliciosa. La investigación dice que si bien los que están detrás de Peachpit parecen diferentes de los que están detrás de Badbox, es probable que estén trabajando juntos de alguna manera. «Tienen este SDK que hizo la parte del fraude publicitario, y encontramos una versión de este SDK que coincide con el nombre del módulo que se estaba colocando en Badbox», dice Santos, refiriéndose a un kit de desarrollo de software. «Ese fue otro nivel de conexión que encontramos».
La investigación de Human Security dice que los anuncios involucrados generaban 4 mil millones de solicitudes de publicidad por día, con 121,000 dispositivos Android afectados y 159,000 dispositivos iOS afectados. Los investigadores calculan que en total se han descargado 15 millones de aplicaciones de Android. (La puerta trasera Badbox se encontró solo en Android, no en ningún dispositivo iOS). Reid dice que, según los datos que tiene la compañía, que no son una imagen completa debido a la complejidad de la industria publicitaria, quienes están detrás del esquema podría haber ganado fácilmente 2 millones de dólares en un solo mes.
