Caixas de streaming Android TV que prometem “tudo por um preço único” estão em alta no mercado atualmente.
Esses dispositivos aparecem em grandes sites de varejo, são divulgados por influenciadores digitais e até recomendados por amigos que afirmam ter cortado a assinatura de TV a cabo de vez.
À primeira vista, parecem uma oferta irresistível, oferecendo milhares de canais por um único pagamento.
No entanto, pesquisadores de segurança alertam para um custo oculto desses aparelhos.
Em diversos casos, dispositivos vendidos como simples streamers de mídia têm se mostrado capazes de transformar silenciosamente a conexão de internet doméstica em parte de redes usadas para atividades online suspeitas.
E muitos consumidores não têm ideia do que está acontecendo.
Uma investigação do site Krebs on Security revelou que esses aparelhos não funcionam como meros streamers após serem conectados à rede do usuário.
O foco da análise foi o SuperBox, uma caixa de streaming baseada em Android vendida por terceiros em plataformas populares.
Oficialmente, a SuperBox se apresenta apenas como hardware, afirmando não pré-instalar apps piratas e responsabilizando o usuário pelas instalações.
Mas a realidade é outra.
Para acessar os milhares de canais prometidos pelo SuperBox, é preciso remover o ecossistema oficial de apps do Google e substituí-lo por uma loja de aplicativos não oficial — algo que já deveria acender um alerta.
Depois de instalar essas versões customizadas, o dispositivo não apenas transmite vídeos, como também passa a rotejar o tráfego da internet por meio de redes proxy de terceiros.
Na prática, isso significa que sua conexão pode estar sendo usada para redirecionar tráfego para outras pessoas, incluindo fraudes publicitárias, ataques de credential stuffing e grandes operações de web scraping.
Durante testes realizados pela Censys, empresa especializada em inteligência cibernética que monitora dispositivos conectados, modelos do SuperBox se comunicaram imediatamente com servidores ligados ao serviço de mensagens QQ, da Tencent, e com o serviço de proxy residencial Grass.
O Grass se define como uma rede opt-in — ou seja, permite ao usuário ganhar recompensas ao compartilhar a banda de internet não utilizada.
Isso sugere que o SuperBox pode estar usando SDKs ou ferramentas que sequestram banda sem consentimento claro, transformando o aparelho numa espécie de nó dentro de uma rede proxy.
Em termos simples, um botnet é uma rede de dispositivos comprometidos que operam em conjunto para gerar tráfego ou executar tarefas online sem que seus donos percebam.
A pesquisa revelou que os SuperBox incluem ferramentas avançadas de rede e acesso remoto, como os utilitários Tcpdump e Netcat, usados para monitoramento e interceptação de tráfego.
Além disso, os aparelhos realizam técnicas como DNS hijacking e ARP poisoning em redes locais, usadas para redirecionar tráfego e se passar por outros dispositivos.
Alguns modelos ainda possuíam pastas chamadas “secondstage”, indicando que podem conter funcionalidades ou cargas extras além do streaming.
O SuperBox é apenas uma das várias marcas anônimas desse mercado de caixas Android para streaming.
Muitos prometem conteúdo gratuito e instalação rápida, mas frequentemente vêm com malware pré-instalado ou exigem lojas de aplicativos não oficiais, expondo os usuários a riscos sérios.
Em julho de 2025, o Google entrou com uma ação judicial contra os responsáveis pelo botnet BADBOX 2.0, que abrigava mais de 10 milhões de dispositivos Android comprometidos usados para fraudes publicitárias e serviços de proxy.
Grande parte desses aparelhos já estava infectada antes mesmo de chegar às mãos dos consumidores.
Na mesma época, autoridades federais alertaram que dispositivos de streaming e IoT comprometidos eram empregados para invadir redes domésticas e canalizar tráfego para serviços de proxy criminosos.
Procuramos a SuperBox para comentar, mas não obtivemos resposta até o fechamento desta matéria.
Se você já possui uma dessas caixas de streaming ou pensa em adquirir uma, algumas medidas simples podem reduzir significativamente seus riscos.
Se o aparelho solicitar a remoção da Google Play Store ou a instalação de apps de lojas desconhecidas, interrompa imediatamente o procedimento.
Isso desativa as proteções nativas do Android e abre caminho para malwares.
Dispositivos legítimos de Android TV jamais exigem esse tipo de ação.
Mesmo se o dispositivo já estiver comprometido, um antivírus eficiente em seus computadores e smartphones pode detectar comportamentos suspeitos na rede, conexões maliciosas e ataques subsequentes como credential stuffing.
Softwares antivírus modernos monitoram padrões de comportamento, não apenas arquivos, o que é crucial quando malware age silenciosamente em segundo plano.
Eles também ajudam a identificar phishing e ameaças de ransomware, protegendo seus dados e ativos digitais.
Sempre que possível, isole smart TVs e caixas de streaming em uma rede separada, como uma rede de convidados configurada no roteador.
Assim, caso um dispositivo seja comprometido, ele não terá acesso direto a seus laptops, celulares e sistemas de trabalho.
Essa é uma das formas mais simples de conter danos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...