Ils semblaient être une bonne affaire à l’époque
Avertissement : Nous aimons tous beaucoup les bonnes affaires, mais parfois, en les recherchant, nous prouvons l’adage : « Vous en avez pour votre argent ». Les chercheurs en sécurité ont découvert des milliers de boîtiers de streaming Android bon marché dotés de portes dérobées de micrologiciels activement connectés à des serveurs de commande et de contrôle (C2) en Chine.
En janvier, le chercheur en sécurité Daniel Milisic a découvert qu’un boîtier de streaming bon marché et sans marque, uniquement désigné T95, était infecté par un malware inamovible apparemment directement sorti de l’usine. Plusieurs autres chercheurs ont confirmé que le système basé sur Android avait été infecté par une porte dérobée installée quelque temps avant d’atteindre les détaillants. Cependant, des recherches plus récentes affirment que le problème pourrait être plus répandu que prévu.
Human Security vient de révéler avoir découvert sept boîtiers de streaming Android dotés de portes dérobées similaires à celles du T95. Il a également trouvé une tablette et les signes d’au moins 200 autres modèles d’appareils Android susceptibles d’être compromis. La société de recherche a déclaré à Wired qu’elle avait suivi les appareils et les avait trouvés dans des résidences, des écoles et des entreprises aux États-Unis. Il a également découvert et démantelé une escroquerie publicitaire qui avait probablement financé l’opération criminelle. Et ce que font ces appareils est illégal.
« Ils sont comme un couteau suisse pour faire de mauvaises choses sur Internet », a déclaré Gavin Reid, RSSI de la sécurité humaine. « Il s’agit d’une manière véritablement distribuée de commettre une fraude. »
Human Security a désigné l’infection comme Badbox et la campagne publicitaire malveillante comme Peachpit.
Les sept box impactées par Badbox sont des équipements sans marque fabriqués en Chine. Les chercheurs affirment que les pirates auraient pu installer la porte dérobée du micrologiciel quelque temps après que les appareils ont quitté l’usine et avant d’atteindre les revendeurs. Les seules véritables marques d’identification sur les appareils semblent être des numéros de modèle plutôt que des noms. Ils incluent le T95 original trouvé en janvier, le T95Z, le T95MAX, le X88, le Q9, le X12PLUS et le MXQ Pro 5G. La tablette Android générique est simplement identifiée comme J5-W.
Le malware est basé sur Triada, découvert pour la première fois par Kaspersky en 2016. Il modifie légèrement le système d’exploitation Android pour lui permettre d’accéder aux applications installées sur l’appareil. Ensuite, il établit la communication avec un serveur C2.
« À l’insu de l’utilisateur, lorsque vous branchez cet appareil, il se dirige vers un centre de commande et de contrôle (C2) en Chine, télécharge un jeu d’instructions et commence à faire un tas de mauvaises choses », explique Reid.
Certaines des « mauvaises choses » mentionnées par Reid incluent spécifiquement la fraude publicitaire, la création de faux comptes Gmail et WhatsApp à l’aide des connexions et l’installation de codes à distance. Les acteurs malveillants vendent également l’accès à des réseaux domestiques compromis afin que d’autres criminels puissent utiliser le nœud comme proxy pour des activités illégales.
Human Security note que les pirates vendaient l’accès à des nœuds sur le dark web et prétendaient avoir accès à plus de 10 millions d’adresses IP domestiques et à sept millions d’adresses IP mobiles. Heureusement, Milisic rapporte que les hubs C2 auxquels le malware connecté a été supprimé, de sorte que la porte dérobée est effectivement neutralisée pour le moment. Cependant, le malware est toujours en place et pourrait éventuellement être réactivé avec de nouveaux serveurs.
De plus, il existe plusieurs millions de cas similaires sans rapport avec Badbox. Trend Micro a étudié une campagne de malware similaire avec jusqu’à 20 millions d’appareils concernés, ce qui montre à quel point le problème peut être répandu lorsqu’on l’examine dans son ensemble.
Acheteur, méfiez-vous : cet appareil de streaming bon marché pourrait transformer votre réseau domestique en une plaque tournante pour les pirates informatiques sans même que vous le sachiez. Une bonne règle de base dans ce cas serait que s’il n’y a pas de nom de marque, il est probablement préférable de faire une passe difficile.
