Si vous obtenez votre correctif de streaming à partir d’un boîtier Android TV, votre appareil pourrait être infecté par des logiciels malveillants capables de commettre des fraudes publicitaires, de créer de faux comptes et de vendre l’accès aux réseaux domestiques en siphonnant discrètement vos données vers des serveurs en Chine.
Selon un nouveau rapport publié cette semaine, la société de cybersécurité Human Security a découvert des preuves de plusieurs modèles de boîtiers Android TV et d’au moins une tablette infectés dès le départ par de dangereuses portes dérobées de micrologiciels difficiles à détecter et encore plus difficiles à supprimer. Human Security a identifié au moins 74 000 téléphones mobiles, tablettes et boîtiers TV connectés Android présentant des signes d’infection dans le monde. Les chercheurs ont découvert des signes indiquant qu’au moins 200 modèles différents d’appareils Android pourraient être concernés, selon un rapport partagé avec Wired.
Au total, les chercheurs ont identifié huit appareils connus pour avoir des portes dérobées installées : sept boîtiers TV, les T95, T95Z, T95MAX, X88, Q9, X12PLUS et MXQ Pro 5G, et une tablette J5-W. Tous les appareils disposent d’une base d’utilisateurs vaste et diversifiée, allant des foyers et des entreprises aux écoles à travers les États-Unis.
« Il s’agit d’une manière véritablement distribuée de commettre une fraude », a déclaré Gavin Reid, RSSI de Human Security, dans une interview avec Wired. Il a ajouté que les forces de l’ordre ont déjà reçu tous les détails qu’elles ont rassemblés sur les installations où les appareils pourraient avoir été fabriqués. .
Que se passe t-il ici
Voici comment fonctionne le système. Les appareils sont fabriqués en Chine, où, à un moment donné de la chaîne d’approvisionnement commerciale, avant d’être livrés aux revendeurs ou aux magasins, une porte dérobée de micrologiciel basée sur des logiciels malveillants est installée. La porte dérobée est construite sur le malware Triada, un « téléchargeur » dont l’objectif principal est d’établir une porte dérobée par laquelle d’autres programmes malveillants peuvent être téléchargés et installés. Surnommées infections Badbox, ces portes dérobées sont liées à un réseau mondial de fraude et de cybercriminalité.
« À l’insu de l’utilisateur, lorsque vous branchez cette chose, elle est transmise à un système de commande et de contrôle (C2) en Chine, télécharge un jeu d’instructions et commence à faire un tas de mauvaises choses », a déclaré Reid au point de vente.
Les pirates utilisent ensuite cet accès aux appareils compromis pour exécuter plusieurs types de fraude, notamment la fraude publicitaire, la création de faux comptes Gmail et WhatsApp et l’installation de codes à distance, explique le rapport de Human Security. Le groupe à l’origine de ce projet vend commercialement l’accès aux réseaux résidentiels et prétend avoir accès à des millions d’adresses IP mobiles.
La société de cybersécurité rapporte que les opérateurs de BadBox ont mis hors service leurs serveurs de commande et de contrôle, apparemment pour adapter et contourner les mesures défensives dans un contexte de surveillance accrue. Les consommateurs inquiets devraient éviter d’utiliser les appareils infectés, car le logiciel malveillant réside dans la partition du micrologiciel, ce qui rend sa suppression extrêmement difficile à moins d’avoir des connaissances techniques.
« Vous pouvez considérer ces Badbox comme une sorte de cellules dormantes. Ils sont juste assis là à attendre les jeux d’instructions », a déclaré Reid à Wired. À tous ceux qui recherchent un nouveau boîtier de streaming TV, il conseille de choisir des marques familières lors de l’achat de nouveaux produits et de s’en tenir aux appareils de fabricants de confiance.