Takie urządzenia są w szkołach, firmach i domach. Dzięki nim przestępcy zarabiają grube miliony.
Gdy kupujesz sobie przystawkę do telewizora, na pewno nie spodziewasz się, że zapraszasz złodziei do klasy, salonu lub biura. Tymczasem rynek zalały urządzenia do streamowania z Androidem na pokładzie, napakowane wirusami. Sprzęty łączą się z chińskimi serwerami natychmiast po włączeniu, skąd dostają instrukcje, by oszukiwać i okradać.
Na początku roku analitycy potwierdzili, że na rynku pojawiło się niedrogie urządzenie streamujące z Android TV o nazwie T95 z fabrycznie zainstalowanym szkodliwym oprogramowaniem. Niestety – zdarza się. Dziś wiemy, że to nie był odosobniony przypadek, ale część zorganizowanej akcji przestępczej, wartej mnóstwo pieniędzy.
Analitycy z Human Security zdobyli nie jedną, ale siedem przystawek telewizyjnych i jeden tablet, biorący udział w tym samym oszustwie. Można je znaleźć pod nazwami: T95, T95Z, T95MAX, X88, Q9, X12PLUS, MXQ Pro 5G i J5-W.
To tylko wierzchołek góry lodowej, bo urządzenia mogą być sprzedawane pod przeróżnymi nazwami w podejrzanych sklepach. Właściwie trudno powiedzieć, jak duży jest zasięg operacji. Na pewno te urządzenia są w amerykańskich szkołach i europejskim muzeum, ale nie da się wykluczyć, że trafiły też do Polski.
Poza zainfekowanym sprzętem specjaliści zidentyfikowali i unieszkodliwili także sieć reklamową, która zapewne przynosiła spore zyski cyberprzestępcom. Oszustwo polegało na udawaniu, że reklamy zostały wyświetlone i pobieraniu za to należności.
Zobacz: Play odkodował kanały. Okno otwarte nawet przez dwa miesiące
Kolejny element układanki to przynajmniej 39 szkodliwych aplikacji, służących między innymi do wyświetlania reklam i podsłuchiwania ruchu. Były one instalowane na urządzeniach, ale też były dostępne w Google Play i App Store. Co więcej, urządzenia mogą same zakładać konta Gmail i WhatsApp, choć nie do końca wiadomo, jakie jest ich przeznaczenie. Nie zabrakło możliwości wykradania kodów jednorazowych i haseł.
Wisienką na torcie jest dostęp do sieci lokalnej, w której pracuje zainfekowany sprzęt. Taki dostęp można było sobie kupić na czarnym rynku, by wykonywać kolejne niecne działania. Specjaliści szacują, że cyberprzestępcy mieli dostęp do ponad 20 milionów sieci, co przekłada się na przynajmniej 20 milionów zainfekowanych urządzeń, rozsianych po świecie. W każdej chwili co najmniej 2 mln urządzeń były online.
Ile mogli zarabiać przestępcy? 2 miliony dolarów miesięcznie spokojnie były w ich zasięgu. Przy tym warto zaznaczyć, że na bieżąco reagowali na działania analityków. Dopóki urządzenia z backdoorem działają, oszuści mają pole do manewru. W produkcji mogą być kolejne – trudno powiedzieć, w którym miejscu między fabryką i czyimś domem malware trafia na przystawki.
Źródło zdjęć: Ultraskrip / Shutterstock, Human Security
Źródło tekstu: Wired, Human Security, Trend Micro