當你購買電視串流媒體盒時，有些事情是你不會想到它會做的。它不應該偷偷植入惡意軟體，也不應該一開機就開始與中國的伺服器通訊。它絕對不應該充當有組織犯罪計劃中的一個節點，透過詐欺賺取數百萬美元。然而，對於成千上萬擁有廉價Android電視設備的不明真相者來說，這就是現實。

今年1 月，安全研究人員丹尼爾-米利西奇（Daniel Milisic）發現，一款名為T95 的廉價Android電視串流媒體盒子在開箱後就感染了惡意軟體，其他多名研究人員也證實了這一發現。但這只是冰山一角。本週，網路安全公司Human Security （人類安全）披露了有關受感染設備範圍的新細節，以及與串流媒體盒子有關的隱藏的、相互關聯的詐騙計畫網路。

人類安全公司的研究人員發現七台Android電視盒和一台平板電腦安裝了後門，他們也發現有200 種不同型號的Android設備可能受到影響。這些設備遍佈美國的家庭、企業和學校。同時，人類安全公司表示，它還查處了與該計劃有關的廣告詐欺行為，這很可能有助於支付該行動的費用。

人類安全公司的CISO 加文-里德（Gavin Reid）說：”他們就像一把在互聯網上乾壞事的瑞士軍刀。這是一種真正的分散式欺詐方式。”里德說，公司已經與執法機構分享了可能製造這些設備的設施的詳細資訊。

人類安全公司的研究分為兩個領域： Badbox，涉及被入侵的Android設備以及它們參與詐欺和網路犯罪的方式。第二個領域被稱為Peachpit，是一個相關的廣告詐騙行動，涉及至少39 個Android和iOS 應用程式。Google表示，在人類安全公司的研究之後，它已經刪除了這些應用程序，而蘋果則表示，它已經在向其報告的幾個應用程式中發現了問題。

首先是Badbox。廉價的Android串流媒體盒通常售價不到50 美元，在網路和實體店有售。這些機上盒通常沒有品牌或以不同的名稱出售，部分掩蓋了其來源。人類安全公司在報告中聲稱，2022 年下半年，其研究人員發現了一個Android應用程序，該應用程式似乎與不真實的流量相連，並連接到flyermobi.com 網域。米利西奇在今年1 月發布關於T95 Android盒子的初步發現時，研究也指向了flyermobi 域名。人類公司的團隊購買了這個盒子和其他多個盒子，並開始深入研究。

研究人員總共確認了八款安裝了後門的設備–七款電視盒、T95、T95Z、T95MAX、X88、Q9、X12PLUS 和MXQ Pro 5G，以及一台平板電腦J5-W。(最近幾個月，其他安全研究人員也發現了其中一些問題）。該公司的報告由資料科學家瑪麗恩-哈比比（Marion Habiby）擔任主要作者，報告指出人類安全公司在全球發現了至少74,000 台顯示Badbox 感染跡象的Android設備，其中包括美國學校中的一些設備。

這些電視設備是在中國製造的。在它們到達轉售商手中之前的某個地方，研究人員並不清楚在哪裡添加了韌體後門。這個後門是基於安全公司卡巴斯基在2016年首次發現的Triada惡意軟體，它修改了Android作業系統的一個元素，允許自己存取裝置上安裝的應用程式。然後，它就會打電話回家。里德說：”在用戶不知情的情況下，當你把這個東西插上電源後，它就會進入中國的一個指揮和控制（C2）系統，下載指令集，然後開始做一些壞事。”

人類安全公司追蹤了與被入侵設備有關的多種類型的詐欺行為。其中包括廣告詐欺；住宅代理服務，即幕後團夥出售家庭網路存取權；利用連接創建虛假的Gmail 和WhatsApp 帳戶；以及遠端代碼安裝。該公司的報告稱，幕後黑手在商業上出售住宅網路的存取權限，他們聲稱可以存取1000 多萬個家庭IP 位址和700 多萬個行動IP 位址。

這些發現與其他研究人員和正在進行的調查相吻合。安全公司趨勢科技（Trend Micro）的高級威脅研究員費奧多爾-亞羅奇金（Fyodor Yarochkin）說，該公司已經發現有兩個中國威脅組織使用了被後門的Android設備，一個是它深入研究過的，另一個是人類安全公司調查過的。”設備的感染情況非常相似，”Yarochkin 說。

趨勢科技在中國為它調查的那個組織找到了一家”前端公司”。他說：”他們聲稱，他們在全球有超過2000 萬台設備受到感染，任何時候都有多達200 萬台設備在線。根據趨勢科技的網絡數據，”Yarochkin 認為這些數字是可信的。”在歐洲的某個博物館裡甚至都有受影響的一台平板電腦，相信可能有成片的Android系統受到了影響，包括汽車裡的系統，他們很容易滲透到供應鏈中，而對於製造商來說，這確實很難察覺。”

還有人類安全公司所說的Peachpit，這是一種基於應用程式的詐欺行為，既出現在電視盒子上，也出現在Android手機和iPhone上。該公司發現有39 個Android、iOS 和電視盒應用程式涉及其中。該公司的安全研究員若昂-桑托斯（Joao Santos）說：”這些都是基於模板的應用程序，品質並不高。”

這些應用程式實施了一系列詐欺行為，包括隱藏廣告、欺騙網路流量和惡意廣告。研究稱，雖然Peachpit 的幕後黑手似乎與Badbox 的幕後黑手不同，但他們很可能以某種方式合作。桑托斯說：”他們有一個負責廣告詐欺的SDK，我們發現這個SDK 的一個版本與Badbox 上投放的模組名稱相匹配，”他指的是一個軟體開發工具包。”這是我們發現的另一層聯繫。”

人類安全公司的研究稱，涉案廣告每天發出40 億次廣告請求，12.1 萬台Android設備和15.9 萬台iOS 設備受到影響。據研究人員計算，Android 應用程式的下載總量達到了1500 萬次。根據公司掌握的數據（由於廣告業的複雜性，這些數據並不全面），幕後黑手僅在一個月內就能輕鬆賺取200 萬美元。

Google發言人 Ed Fernandez證實，「人類安全」公司報告的20 個Android應用程式已從Play Store 下架。費爾南德斯說：「被發現感染Badbox的非品牌設備都不是經過Play Protect認證的Android設備，」他指的是Google針對Android設備的安全測試系統。”如果設備沒有通過Play Protect 認證，Google就沒有安全性和相容性測試結果記錄。”該公司有一份經過認證的Android TV 合作夥伴名單。蘋果發言人Archelle Thelemaque 表示，蘋果發現Human 報告的應用程式中有5 款違反了蘋果的指導原則，並給了開發者14 天時間讓他們遵守規則。截至發稿時，其中四款已經做到了這一點。

里德說，在2022 年底和今年上半年，人類安全公司對Badbox 和Peachpit 的廣告詐欺行為採取了行動。根據該公司提供的數據，目前來自這些計劃的詐騙廣告請求數量已完全下降。但是，攻擊者即時適應了這種幹擾。桑托斯說，剛開始部署反制措施時，那些幕後黑手先是發送更新來混淆視聽。他說，隨後，Badbox 的幕後黑手摧毀了為韌體後門提供動力的C2 伺服器。

雖然攻擊者的行動已經放緩，但這些盒子仍在人們的家中和網路上。除非有人具備技術技能，否則惡意軟體很難被清除。”你可以把這些’Badbox’看作是一種潛伏細胞。它們就在那裡等待指令集，”里德說。最後，對於購買電視串流媒體盒的人來說，建議購買品牌設備，因為製造商是明確的，值得信賴的。因為”朋友不會讓朋友把奇怪的物聯網設備連接到他們的家庭網路”。

閱讀安全報告全文：

按一下以存取 HUMAN_Report_BADBOX-and-PEACHPIT.pdf