As caixas de streaming de TV acessíveis podem parecer uns dos gadgets mais simples disponíveis no mercado, entretanto, elas podem vir acompanhadas de custos ocultos.
Em 2023, pesquisadores revelaram que dezenas de milhares de caixas Android TV, utilizadas em lares, escolas e empresas, estavam equipadas com backdoors secretos, permitindo que fossem utilizadas em uma série de crimes cibernéticos e fraudes online.
Agora, os mesmos pesquisadores descobriram que o ecossistema baseado na China por trás dos dispositivos comprometidos e das atividades ilícitas realizadas por eles—coletivamente apelidado de Badbox 2.0—está alimentando uma campanha de próxima geração que é mais ampla em escopo e ainda mais sorrateira.
Pelo menos 1 milhão de dispositivos baseados em Android, incluindo caixas de streaming de TV, tablets, projetores e sistemas de infotenimento de carros pós-venda, estão infectados com malware que os conscripta em uma botnet controlada por golpistas, de acordo com pesquisas recentes compartilhadas exclusivamente pela firma de cibersegurança Human Security.
Os dispositivos comprometidos são usados para uma gama de fraudes publicitárias e em serviços de proxy residenciais, que permitem que seus operadores utilizem as conexões de internet das vítimas para rotear e mascarar o tráfego na web.
E toda essa atividade acontece nos bastidores, sem que os proprietários dos dispositivos comprometidos tenham ideia de como suas caixas de streaming estão sendo usadas.
"Isso tudo é completamente desconhecido para os pobres usuários que compraram este dispositivo apenas para assistir Netflix ou o que quer que seja", diz Gavin Reid, chefe de segurança da informação da Human.
Fraudes publicitárias, incluindo fraude de cliques, estão todas acontecendo nos bastidores, mas a principal maneira que estão monetizando o milhão de dispositivos é revendendo este serviço de proxy.
As vítimas não sabem que são um proxy, elas nunca concordaram em ser um serviço de proxy, mas estão sendo usadas para isso.
Qualquer coisa ruim que você queira fazer, scraping, o que for, esses serviços de proxy são um facilitador para isso.
Os pesquisadores descobriram que a maioria dos dispositivos infectados está na América do Sul, particularmente no Brasil.
Os dispositivos impactados frequentemente usam nomes genéricos e não são produzidos por marcas conhecidas.
Por exemplo, existem dezenas de caixas de streaming impactadas, mas a maioria dos alvos de Badbox 2.0 estão nas famílias de dispositivos "TV98" e "X96".
Praticamente todos os dispositivos visados são projetados usando o código aberto do sistema operacional Android, o que significa que eles executam versões do Android, mas não fazem parte do ecossistema de dispositivos protegidos do Google.
O Google colaborou com os pesquisadores para abordar o componente de fraude publicitária da atividade, embora a empresa afirme que trabalhou para encerrar contas de editores associadas aos golpes e bloquear a capacidade dessas contas de gerar receita por meio do ecossistema de publicidade do Google.
"Os ataques maliciosos, como o descrito neste relatório, são expressamente proibidos em nossas plataformas", disse o porta-voz do Google, Nate Funkhouser, em um comunicado.
As táticas dos maus atores estão em constante evolução.
A parceria com organizações como a HUMAN nos ajuda a compartilhar inteligência sobre ameaças e expande nossa capacidade coletiva de identificar e tomar ações rápidas contra maus atores, como fizemos aqui.
Na campanha original Badbox, os golpistas se concentraram em instalar firmware com backdoor em caixas de streaming antes de chegarem às mãos dos consumidores.
A campanha Badbox 2.0 é significativa, dizem os pesquisadores, porque reflete uma grande mudança nas táticas.
Em vez de se concentrar em infecções de firmware de baixo nível, o Badbox 2.0 envolve malware de nível de software mais tradicional, distribuído por meio de táticas comuns como downloads acidentais, nos quais as vítimas baixam malware sem perceber.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...