Lorsque vous achetez un boîtier de streaming TV, il y a certaines choses auxquelles vous ne vous attendez pas. Il ne devrait pas être capable d'installer subrepticement des logiciels malveillants, ni commencer à communiquer avec des serveurs en Chine dès son démarrage. Il ne devrait jamais servir de nœud dans un stratagème du crime organisé visant à gagner des millions de dollars grâce à la fraude. Cependant, pour les milliers de personnes non informées qui possèdent des appareils Android TV bon marché, c'est la réalité.
En janvier, le chercheur en sécurité Daniel Milisic a découvert qu'un boîtier de streaming Android TV bon marché appelé T95 était infecté par un logiciel malveillant dès sa sortie de la boîte, une découverte confirmée par plusieurs autres chercheurs. Mais ce n'est que la pointe de l'iceberg. Cette semaine, la société de cybersécurité Human Security a révélé de nouveaux détails sur l’étendue des appareils infectés et un réseau caché et interconnecté de stratagèmes frauduleux liés aux boîtes de streaming.
Les chercheurs de Human Security ont trouvé sept boîtiers Android TV et une tablette avec des portes dérobées installées, et ils ont également découvert que 200 modèles différents d'appareils Android étaient potentiellement concernés. Ces appareils se trouvent dans les foyers, les entreprises et les écoles aux États-Unis. Pendant ce temps, Human Security a déclaré avoir également découvert une fraude publicitaire liée au stratagème, qui a probablement contribué à financer l'opération.
"Ils sont comme un couteau suisse pour faire de mauvaises choses sur Internet", a déclaré Gavin Reid, RSSI chez Human Security. "C'est une forme de fraude véritablement distribuée." Reid a déclaré que la société avait partagé des détails avec les forces de l'ordre sur les installations où les appareils pourraient avoir été fabriqués.
Les recherches de Human Security sont divisées en deux domaines : Badbox, qui concerne les appareils Android compromis et la manière dont ils peuvent être impliqués dans la fraude et la cybercriminalité. Le deuxième domaine, connu sous le nom de Peachpit, était une opération de fraude publicitaire impliquant au moins 39 applications Android et iOS. Google a déclaré avoir supprimé les applications à la suite d'une recherche menée par Human Security, tandis qu'Apple a déclaré avoir découvert des problèmes dans plusieurs applications qui lui avaient été signalées.
Le premier est Badbox. Les boîtiers de streaming Android bon marché coûtent généralement moins de 50 $ et sont disponibles en ligne et en magasin. Ces décodeurs sont souvent sans marque ou vendus sous des noms différents, masquant partiellement leur origine. Human Security a déclaré dans son rapport qu'au cours du second semestre 2022, ses chercheurs ont découvert une application Android qui semblait être connectée à un trafic non authentique et connectée au nom de domaine flyermobi.com. Lorsque Milicic a publié ses premières conclusions sur le boîtier Android T95 en janvier de cette année, la recherche a également souligné le nom de domaine flyermobi. L’équipe de Humanity a acheté cette boîte et plusieurs autres et a commencé à y fouiller.
Au total, les chercheurs ont identifié huit appareils sur lesquels la porte dérobée était installée : sept boîtiers TV, T95, T95Z, T95MAX, X88, Q9, X12PLUS et MXQPro5G, et une tablette, la J5-W. (Certains de ces problèmes ont également été découverts par d’autres chercheurs en sécurité ces derniers mois). Le rapport de la société, dirigé par la data scientist Marion Habiby, indique que Human Security a découvert au moins 74 000 appareils Android dans le monde montrant des signes d'infection par Badbox, dont certains dans des écoles américaines.
Ces téléviseurs sont fabriqués en Chine. Les chercheurs ne savent pas exactement où une porte dérobée du micrologiciel a été ajoutée quelque part avant d'atteindre les revendeurs. La porte dérobée est basée sur le malware Triada découvert pour la première fois par la société de sécurité Kaspersky en 2016, qui modifie un élément du système d'exploitation Android pour s'autoriser l'accès aux applications installées sur l'appareil. Ensuite, il appelle chez lui. "Sans que l'utilisateur le sache, lorsque vous branchez cette chose, elle entre dans un système chinois de commande et de contrôle (C2), télécharge le jeu d'instructions, puis commence à faire de mauvaises choses", a déclaré Reed.
Human Security a suivi de nombreux types de fraudes liées aux appareils compromis. Ceux-ci incluent la fraude publicitaire ; les services proxy résidentiels, où des groupes vendent l'accès aux réseaux domestiques ; exploiter les connexions pour créer de faux comptes Gmail et WhatsApp ; et installation de code à distance. Le rapport de la société indique que les acteurs derrière l'attaque vendaient commercialement l'accès aux réseaux résidentiels, affirmant qu'ils avaient accès à plus de 10 millions d'adresses IP domestiques et à plus de 7 millions d'adresses IP mobiles.
Ces résultats sont cohérents avec ceux d’autres chercheurs et enquêtes en cours. Fyodor Yarochkin, chercheur principal sur les menaces au sein de la société de sécurité Trend Micro, a déclaré que la société avait découvert deux groupes de menaces chinois utilisant des appareils Android dotés de portes dérobées, l'un ayant fait l'objet de recherches approfondies et l'autre ayant fait l'objet d'une enquête menée par des sociétés de sécurité humaine. "Le profil d'infection des appareils est très similaire", a déclaré Yarochkin.
Trend Micro a trouvé une « société front-end » en Chine pour l'organisation sur laquelle elle enquêtait. "Ils prétendent avoir plus de 20 millions d'appareils infectés dans le monde, avec jusqu'à 2 millions d'appareils en ligne à tout moment. Sur la base des données réseau de Trend Micro", Yarochkin estime que ces chiffres sont crédibles, a-t-il déclaré. "Il y a même une tablette concernée dans un musée en Europe. Je pense qu'un grand nombre de systèmes Android pourraient être concernés, y compris les systèmes embarqués dans les voitures. Ils peuvent facilement pénétrer dans la chaîne d'approvisionnement, et c'est vraiment difficile à détecter pour les fabricants."
Il existe également ce que Human Security appelle Peachpit, une fraude basée sur une application qui apparaît sur les téléviseurs ainsi que sur les téléphones Android et les iPhones. La société a trouvé 39 applications Android, iOS et TV Box impliquées. "Ce sont des applications basées sur des modèles, pas de grande qualité", a déclaré Joao Santos, chercheur en sécurité au sein de l'entreprise.
Les applications ont mis en œuvre toute une série de pratiques trompeuses, notamment le masquage de publicités, l'usurpation du trafic réseau et la publicité malveillante. Bien que les personnes derrière Peachpit semblent être différentes de celles derrière Badbox, il est probable qu'elles aient travaillé ensemble d'une manière ou d'une autre, selon l'étude. "Ils ont un SDK responsable de la fraude publicitaire, et nous avons trouvé une version de ce SDK qui correspond au nom du module diffusé sur Badbox", a déclaré Santos, faisant référence à un kit de développement logiciel. "C'est une autre couche de connexion que nous avons trouvée."
Selon une étude de Human Security, les publicités impliquées envoient chaque jour 4 milliards de demandes de publicité, affectant 121 000 appareils Android et 159 000 appareils iOS. Les chercheurs ont calculé que les applications Android ont été téléchargées au total 15 millions de fois. Selon les données détenues par l'entreprise (qui ne sont pas exhaustives en raison de la complexité du secteur publicitaire), l'homme à l'origine de l'opération pourrait facilement gagner 2 millions de dollars en un mois seulement.
Le porte-parole de Google, Ed Fernandez, a confirmé que 20 applications Android signalées par Human Security avaient été supprimées du Play Store. "Aucun des appareils hors marque infectés par Badbox n'était un appareil Android certifié PlayProtect", a déclaré Fernandez, faisant référence au système de test de sécurité de Google pour les appareils Android. "Si un appareil n'est pas certifié PlayProtect, Google n'a aucun enregistrement des résultats des tests de sécurité et de compatibilité." La société dispose d’une liste de partenaires Android TV certifiés. La porte-parole d'Apple, Archelle Thelemaque, a déclaré qu'Apple avait constaté que cinq des applications signalées par Human violaient les directives d'Apple et avait donné aux développeurs 14 jours pour se conformer aux règles. Au moment de mettre sous presse, quatre d’entre eux l’avaient fait.
Reed a déclaré qu'à la fin de 2022 et au premier semestre de cette année, Human Security avait pris des mesures contre Badbox et Peachpit pour fraude publicitaire. Selon les données fournies par l'entreprise, le nombre de demandes de publicité frauduleuses émanant de ces programmes a désormais complètement diminué. Cependant, les attaquants s’adaptent en temps réel à ces interférences. Santos a déclaré que lorsque les contre-mesures ont été déployées pour la première fois, les responsables de l'attaque ont commencé par envoyer des mises à jour pour semer la confusion dans la situation. Les acteurs derrière Badbox ont ensuite détruit le serveur C2 qui alimentait la porte dérobée du micrologiciel, a-t-il déclaré.
Même si les opérations des attaquants ont ralenti, les boîtes sont toujours présentes chez les gens et en ligne. Les logiciels malveillants sont difficiles à supprimer à moins que quelqu'un possède des compétences techniques. "Vous pouvez considérer ces 'Badbox' comme une sorte de cellules dormantes. Elles sont juste là en attente d'un ensemble d'instructions", a déclaré Reed. Enfin, pour ceux qui achètent une box de streaming TV, il est recommandé d’acheter un appareil de marque car le fabricant est clair et digne de confiance. Parce que "les amis ne laisseront pas leurs amis brancher des appareils IoT étranges sur leurs réseaux domestiques".
Lire le rapport de sécurité complet :
https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf