数千台の Android デバイスには、強制終了できないバックドアがプリインストールされています

TV ストリーミング ボックスを購入すると、予想外のことが起こることがあります。密かにマルウェアを混入したり、電源を入れたときに中国のサーバーと通信を開始したりするべきではありません。詐欺によって何百万ドルも稼ぐ組織犯罪計画の結節点として機能するべきではありません。しかし、それは、安価な Android TV デバイスを所有する何千もの何も知らない人々にとっての現実でした。

1月、セキュリティ研究者のダニエル・ミリシッチ氏は、T95と呼ばれる安価なAndroid TVストリーミングボックスが箱から出してすぐにマルウェアに感染していることを発見し、他の複数の 研究者もこの発見を確認した。しかし、それは氷山の一角にすぎませんでした。今週、サイバーセキュリティ企業ヒューマンセキュリティは、感染したデバイスの範囲と、ストリーミングボックスに関連する隠された相互接続された詐欺計画の網について新たな詳細を明らかにした。

「それらは、インターネット上で悪いことをするスイスアーミーナイフのようなものです」と、同社のSatori脅威インテリジェンスおよび研究チームを率いるヒューマンセキュリティのCISO、ギャビン・リード氏は言う。「これはまさに分散型の詐欺行為です。」リード氏によると、同社はデバイスが製造された可能性のある施設の詳細を法執行機関と共有しているという。

まずはバッドボックス。通常 50 ドル未満の安価な Android ストリーミング ボックスがオンラインおよび実店舗で販売されています。これらのセットトップ ボックスは多くの場合、ノーブランドであるか、別の名前で販売されており、その出所が部分的に不明瞭になっています。ヒューマン・セキュリティー社は報告書の中で、2022年後半に、不正なトラフィックにリンクされ、ドメインflyermobi.comに接続されていると思われるAndroidアプリを研究者らが発見したと述べている。Milisic が1 月に T95 Android ボックスに関する最初の調査結果を投稿したとき、その調査ではフライヤーモビ ドメインも指摘されていました。Human のチームは、このボックスとその他の複数のボックスを購入し、本格的に取り組み始めました。

研究者らは、合計 8 台のバックドアが設置されたデバイス (TV ボックス、T95、T95Z、T95MAX、X88、Q9、X12PLUS、MXQ Pro 5G の 7 台) とタブレット J5-W を確認しました。(これらの一部は、この問題を調査している他のセキュリティ研究者 によっても、ここ数カ月で特定されました)。データサイエンティストのマリオン・ハビビー氏を筆頭著者とする同社の報告書によると、ヒューマン・セキュリティー社は世界中でBadbox感染の兆候を示している少なくとも7万4000台のAndroid端末を発見しており、その中には全米の学校の一部も含まれているという。