Lorsque vous achetez un boîtier de streaming TV, il y a certaines choses auxquelles vous ne vous attendez pas à ce qu’il fasse. Il ne devrait pas être secrètement infecté par des logiciels malveillants ni commencer à communiquer avec des serveurs en Chine lorsqu’il est sous tension. Il ne devrait certainement pas servir de nœud dans un stratagème du crime organisé qui gagne des millions de dollars grâce à la fraude. Cependant, cela a été la réalité pour des milliers de personnes inconscientes qui possèdent des appareils Android TV bon marché.
En janvier, le chercheur en sécurité Daniel Milisic a découvert qu’un boîtier de streaming Android TV bon marché appelé T95 était infecté par un logiciel malveillant dès sa sortie de la boîte, plusieurs autres chercheurs confirmant les résultats. Mais ce n’était que la pointe de l’iceberg. Cette semaine, la société de cybersécurité Human Security révèle de nouveaux détails sur l’ampleur des appareils infectés et le réseau caché et interconnecté de stratagèmes frauduleux liés aux boîtes de streaming.
Les chercheurs de Human Security ont trouvé sept boîtiers Android TV et une tablette avec des portes dérobées installées, et ils ont vu des signes de 200 modèles différents d’appareils Android qui pourraient être concernés, selon un rapport partagé exclusivement avec WIRED. Les appareils se trouvent dans les foyers, les entreprises et les écoles aux États-Unis. Entre-temps, Human Security affirme avoir également mis fin à la fraude publicitaire liée au projet, ce qui a probablement contribué à financer l’opération.
«Ils sont comme un couteau suisse pour faire de mauvaises choses sur Internet», déclare Gavin Reid, RSSI chez Human Security qui dirige l’équipe Satori Threat Intelligence and Research de l’entreprise. « Il s’agit d’une manière véritablement distribuée de commettre une fraude. » Reid affirme que la société a partagé avec les forces de l’ordre les détails des installations où les appareils pourraient avoir été fabriqués.
Les recherches de Human Security sont divisées en deux domaines : Badbox, qui concerne les appareils Android compromis et la manière dont ils sont impliqués dans la fraude et la cybercriminalité. Et la seconde, baptisée Peachpit, est une opération de fraude publicitaire associée impliquant au moins 39 applications Android et iOS. Google affirme avoir supprimé les applications suite aux recherches de Human Security, tandis qu’Apple affirme avoir trouvé des problèmes dans plusieurs des applications qui lui ont été signalées.
Tout d’abord, Badbox. Les boîtiers de streaming Android bon marché, coûtant généralement moins de 50 dollars, sont vendus en ligne et dans les magasins physiques. Ces décodeurs sont souvent sans marque ou vendus sous des noms différents, ce qui masque en partie leur source. Au cours du second semestre 2022, Human Security indique dans son rapport que ses chercheurs ont repéré une application Android qui semblait être liée à un trafic non authentique et connectée au domaine flyermobi.com. Lorsque Milisic a publié ses premières découvertes sur le boîtier Android T95 en janvier, la recherche a également souligné le domaine flyermobi. L’équipe de Human a acheté la boîte et plusieurs autres, et a commencé à s’y plonger.
Au total, les chercheurs ont confirmé huit appareils dotés de portes dérobées : sept boîtiers TV, les T95, T95Z, T95MAX, X88, Q9, X12PLUS et MXQ Pro 5G, ainsi qu’une tablette J5-W. (Certains d’entre eux ont également été identifiés par d’autres chercheurs en sécurité qui se sont penchés sur la question ces derniers mois). Le rapport de la société, dont l’auteur principal est la scientifique des données Marion Habiby, indique que Human Security a repéré au moins 74 000 appareils Android montrant des signes d’infection par Badbox dans le monde, y compris certains dans des écoles aux États-Unis.