摘要：据海外媒体WIRED报道，2023年，有研究人员披露，一些被用于家庭、学校和企业的数以万计的安卓电视机顶盒被内置了秘密后门，使这些设备被应用于网络犯罪和电诈活动中。

电子发烧友网综合报道，据海外媒体WIRED报道，2023年，有研究人员披露，一些被用于家庭、学校和企业的数以万计的安卓电视机顶盒被内置了秘密后门，使这些设备被应用于网络犯罪和电诈活动中。

如今，同样有研究人员发现，一些价格便宜，被植入中国生态系统Badbox 2.0的产品，被广泛投入到市场中，通过这些设备正在推动一场规模更大、更加隐蔽的新一代非法活动。

据网络安全公司Human Security分享的最新研究显示，至少已经有100万台基于安卓系统的电视流媒体盒、平板电脑、投影仪甚至是后装的车载信息娱乐系统已经受到了这些恶意软件的感染，这些设备通常会被网络诈骗团伙控制的僵尸网络所征用。

而这些被攻破的设备通常被用于各种欺诈广告以及所谓的租房代理服务，这就使得这些犯罪分子能够使用受害者的网络连接进路由以及掩盖其网络流量。并且所有的操作都在后台进行，因此设备的使用者完全无法察觉。

Human Security的首席信息安全官Gavin Reid表示，这种设备通常非常便宜，但购买这些设备只想观看一些流媒体的用户却对背后的风险一无所知。所有点击那些弹出的欺诈广告都都在暗中进行，而这些数百万设备的主要变现方式是转售代理服务。受害者从未同意成为代理节点，却被强制使用。无论是网络爬虫还是其他恶意行为，这些代理服务都为其提供了便利。

研究发现，受感染设备主要集中在南美（尤其是巴西），多为无品牌白牌产品。例如，数十款受影响的流媒体盒子中，Badbox 2.0 主要针对“TV98”和“X96”系列设备。这些设备均基于安卓开源代码开发，虽运行安卓系统但不属于谷歌的受保护设备生态。

目前谷歌公司已经与研究团队合作打击广告欺诈，谷歌表示已终止涉事发布者账号，并阻断其通过谷歌广告生态牟利的能力。谷歌发言人Nate Funkhouser表示，已经与Human Security等机构共享这些威胁情况，增强识别和打击恶意行为的能力。

与初代Badbox直接在设备固件植入后门不同，Badbox 2.0转向更传统的软件层攻击。研究人员指出，攻击者通过强制下载等常见手段分发恶意软件，而非依赖底层固件感染。

更值得注意的是，有多家安全机构的研究显示，该活动背后是松散关联的诈骗组织联盟，而非单一犯罪团伙。各组织拥有独立的Badbox 2.0后门和恶意模块，并通过多种渠道传播。部分设备预装了恶意应用，但更多案例中，用户被诱导安装伪装成合法应用的“孪生恶意程序”。

有研究人员特别指出了一个“钓鱼式更新”手法，比如诈骗分子先在应用商店中发布正规应用或游戏软件来获取信任，再优势用户下载非官方渠道的同名恶意版本。这类孪生应用已经出现了至少24次，不法分子借此在正版应用中实施广告欺诈，同时在冒牌应用中传播后门。

Human Security发现，目前已经有超过200个主流应用被诈骗分子通过这类形式进行扩散后门。

另一家与Human Security一同调查的安全公司Trend Micro指出，这一项目背后的运营规模极其庞大，每个团伙都控制着超过百万的在线设备，而这些仅仅是当前连接平台的数量，若统计那些所有被植入Payload的设备，总数将超过数百万。

对此Trend Micro警告消费者，如果一些设备价格低的离谱，就需要做好准备接受隐藏的“惊喜”，天下没有免费的奶酪，除非那是捕鼠器中的诱饵。不过安全机构也承认，尽管目前已经针Badbox 2.0基础设施实施“黑洞路由”，将僵尸网络的指令请求导向空地址，但这种犯罪活动很难彻底终结。

在2024年10份，便曝光了有黑客通过谷歌应用商店安装最新版本的Necro恶意安卓载入器，该软件同样会被加载欺诈广告，以及为恶意流量提供代理，并且件下载Necro木马，受影响的安卓设备超过1100万台。

来源：核芯产业观察