gremlin a través de Getty Images
Cuando compras una caja de transmisión de TV, hay ciertas cosas que no esperarías que hiciera. No debería estar secretamente infectado con malware ni comenzar a comunicarse con servidores en China cuando esté encendido. Definitivamente no debería actuar como un nodo en un plan de crimen organizado que gana millones de dólares mediante fraude. Sin embargo, esa ha sido la realidad para miles de personas desconocidas que poseen dispositivos Android TV baratos.
En enero, el investigador de seguridad Daniel Milisic descubrió que una caja de transmisión de TV Android barata llamada T95 estaba infectada con malware nada más sacarla de la caja, y muchos otros investigadores confirmaron los hallazgos. Pero fue sólo la punta del iceberg. Esta semana, la empresa de ciberseguridad Human Security revela nuevos detalles sobre el alcance de los dispositivos infectados y la red oculta e interconectada de esquemas de fraude vinculados a las cajas de transmisión.
Los investigadores de Human Security encontraron siete cajas de TV Android y una tableta con las puertas traseras instaladas, y han visto signos de 200 modelos diferentes de dispositivos Android que pueden verse afectados, según un informe compartido exclusivamente con WIRED. Los dispositivos están en hogares, empresas y escuelas de todo Estados Unidos. Mientras tanto, Human Security dice que también ha eliminado el fraude publicitario vinculado al plan, que probablemente ayudó a pagar la operación.
«Son como una navaja suiza para hacer cosas malas en Internet», dice Gavin Reid, CISO de Seguridad Humana que dirige el equipo de investigación e inteligencia de amenazas Satori de la empresa. «Esta es una forma verdaderamente distribuida de cometer fraude». Reid dice que la compañía ha compartido detalles de las instalaciones donde se pudieron haber fabricado los dispositivos con las agencias policiales.
La investigación de Human Security se divide en dos áreas: Badbox, que involucra los dispositivos Android comprometidos y las formas en que están involucrados en fraude y cibercrimen. Y el segundo, denominado Peachpit, es una operación de fraude publicitario relacionada que involucra al menos 39 aplicaciones de Android e iOS. Google dice que eliminó las aplicaciones luego de la investigación de Human Security, mientras que Apple dice que encontró problemas en varias de las aplicaciones que se le informaron.
Primero, Caja Mala. Las cajas de transmisión Android baratas, que generalmente cuestan menos de 50 dólares, se venden en línea y en tiendas físicas. Estos decodificadores a menudo no tienen marca o se venden con nombres diferentes, lo que oculta en parte su origen. En la segunda mitad de 2022, Human Security dice en su informe que sus investigadores detectaron una aplicación de Android que parecía estar vinculada a tráfico no auténtico y conectada al dominio flyermobi.com. Cuando Milisic publicó sus hallazgos iniciales sobre la caja Android T95 en enero, la investigación también apuntó al dominio flyermobi. El equipo de Human compró la caja y muchas otras, y comenzó a sumergirse.
En total, los investigadores confirmaron ocho dispositivos con puertas traseras instaladas: siete TV Box, T95, T95Z, T95MAX, X88, Q9, X12PLUS y MXQ Pro 5G, y una tableta J5-W. (Algunos de estos también han sido identificados por otros investigadores de seguridad que han investigado el problema en los últimos meses). El informe de la compañía, que tiene a la científica de datos Marion Habiby como autora principal, dice que Human Security detectó al menos 74.000 dispositivos Android que mostraban signos de una infección Badbox en todo el mundo, incluidos algunos en escuelas de todo Estados Unidos.