Les cybercriminels utilisent des appareils Android bon marché pour mener une opération frauduleuse de plusieurs millions de dollars. Human Security, une société de cybersécurité, a découvert une demi-douzaine de modèles compromis de boîtiers Android TV utilisés pour le crime organisé. Le réseau d’appareils infectés s’étend principalement aux États-Unis.
Au moins huit boîtiers Android TV infectés par des logiciels malveillants
Le rapport Human Security a découvert huit téléviseurs Android liés à une activité cybercriminelle massive. Les huit modèles exposés sont T95, T95Z, T95MAX, X88, Q9, X12 Plus et MXQ Pro 5G. Comme il est évident, ce ne sont pas des appareils de marque ou du moins proviennent de marques obscures et inconnues. Mais ils viennent tous de Chine. Et ils sont tous livrés avec des logiciels malveillants directement intégrés au matériel.
Le malware préinstallé – plus précisément une porte dérobée appelée Triada – fonctionne silencieusement et l’utilisateur n’est jamais au courant d’une quelconque activité malveillante. Une fois qu’ils ont branché le boîtier Android infecté, celui-ci renvoie aux serveurs en Chine, donnant ainsi aux pirates un contrôle total sur l’appareil. Il fait alors partie d’un vaste réseau d’appareils « zombies ». Le réseau effectue des injections publicitaires, vole l’accès aux réseaux résidentiels, sert des attaques DDoS et se lance silencieusement dans le cryptomining.
Human Security a déjà confirmé 8 boîtiers Android TV avec des logiciels malveillants préchargés, mais le nombre réel pourrait être de 200. Les appareils Android suspects créent un réseau mondial de plus de 74 000 nœuds infectés. Le Web est principalement concentré aux États-Unis et infecte les appareils domestiques, les bureaux et les écoles. «Ils sont comme un couteau suisse pour faire de mauvaises choses sur Internet. Il s’agit d’une manière véritablement distribuée de commettre une fraude », a fait remarquer Gavin Reid, RSSI de Human Security.
Financement de l’opération
Le rapport de Human Security comprend deux parties : Badbox et PeachPit. Badbox couvre le réseau des box Android TV infectées. PeachPit est une opération frauduleuse basée sur une application qui a financé BadBox. Au moins 39 applications Android et iOS, disponibles gratuitement sur le Play Store et l’App Store, ont été impliquées dans PeachPit. Ils usurpent le trafic et diffusent des publicités malveillantes ou cachées.
Les applications PeachPit comptent 15 millions de téléchargements sur le seul Google Play Store. Et ils ont touché 121 000 appareils. Les chercheurs ont également calculé que la fraude aurait pu générer au moins 2 millions de dollars par mois.
L’activité des pirates informatiques ralentit
Google a déjà supprimé les applications identifiées du Play Store. Apple a également trouvé cinq applications enfreignant ses directives sur l’AppStore. Leurs développeurs ont deux semaines pour se conformer aux directives.
Depuis la découverte, l’activité des hackers de Badbox a également diminué. Les attaquants mettent hors tension les serveurs qui communiquent avec le malware Android TV. Pour l’instant, les appareils infectés sont des agents dormants. Le malware est toujours là. Et il ne peut être détecté ou supprimé qu’avec une expertise technique significative.
La sécurité humaine avertit les consommateurs de se procurer des boîtiers Android TV de marque et d’autoriser les appareils IoT non fiables sur votre réseau domestique. « Les amis ne laissent pas leurs amis brancher d’étranges appareils IoT sur leurs réseaux domestiques », a prévenu Reid.
