Auf Tausenden von Android-Geräten ist eine unzerstörbare Hintertür vorinstalliert

Wenn Sie eine TV-Streaming-Box kaufen , gibt es bestimmte Dinge, die Sie nicht erwarten würden. Es sollte nicht heimlich mit Malware infiziert sein oder beim Hochfahren mit Servern in China kommunizieren. Es sollte auf keinen Fall als Knotenpunkt in einem System der organisierten Kriminalität fungieren, das durch Betrug Millionen von Dollar erwirtschaftet. Für Tausende unwissender Menschen, die billige Android-TV-Geräte besitzen, ist dies jedoch die Realität.

Im Januar entdeckte der Sicherheitsforscher Daniel Milisic, dass eine billige Android-TV-Streaming-Box namens T95 direkt nach dem Auspacken mit Malware infiziert war. Mehrere andere Forscher bestätigten die Ergebnisse. Aber es war nur die Spitze des Eisbergs. Diese Woche enthüllt das Cybersicherheitsunternehmen Human Security neue Details über den Umfang der infizierten Geräte und das verborgene, miteinander verbundene Netz von Betrugsmaschen im Zusammenhang mit den Streaming-Boxen.

„Sie sind wie ein Schweizer Taschenmesser, wenn es darum geht, im Internet schlimme Dinge zu tun“, sagt Gavin Reid, CISO bei Human Security und Leiter des Satori Threat Intelligence and Research-Teams des Unternehmens. „Dies ist eine wirklich verteilte Art des Betrugs.“ Reid sagt, das Unternehmen habe den Strafverfolgungsbehörden Einzelheiten zu Einrichtungen mitgeteilt, in denen die Geräte möglicherweise hergestellt wurden.

Zuerst Badbox. Günstige Android-Streaming-Boxen, die normalerweise weniger als 50 US-Dollar kosten, werden online und in stationären Geschäften verkauft. Diese Set-Top-Boxen tragen häufig kein Markenzeichen oder werden unter anderen Namen verkauft, wodurch ihre Herkunft teilweise verschleiert wird. In der zweiten Hälfte des Jahres 2022 haben die Forscher von Human Security in ihrem Bericht eine Android-App entdeckt, die offenbar mit nicht authentischem Datenverkehr in Verbindung stand und mit der Domain flyermobi.com verbunden war. Als Milisic im Januar seine ersten Ergebnisse zur T95-Android-Box veröffentlichte , deutete die Recherche auch auf die Flyermobi-Domain hin. Das Team von Human kaufte die Box und mehrere andere und begann mit dem Eintauchen.

Insgesamt bestätigten die Forscher acht Geräte mit installierten Hintertüren – sieben TV-Boxen, T95, T95Z, T95MAX, X88, Q9, X12PLUS und MXQ Pro 5G sowie ein Tablet J5-W. (Einige davon wurden in den letzten Monaten auch von anderen Sicherheitsforschern identifiziert , die sich mit dem Problem befassten .) In dem Bericht des Unternehmens, dessen Hauptautorin die Datenwissenschaftlerin Marion Habiby ist, heißt es, dass Human Security weltweit mindestens 74.000 Android-Geräte mit Anzeichen einer Badbox-Infektion entdeckt hat – darunter einige in Schulen in den USA.