Televizoriai su Triada virusu buvo pardavinėti niekam nieko nežinant, o virusas jau buvo aktyvus
Kai vartotojai nusprendžia įsigyti naują televizorių ar televizijos sistemą, išmanų įrenginį, jie dažnai sulaukia didesnio patogumo ir nesibaigiančių pramogų po ranka. Tačiau su šiais lūkesčiais gali kilti tam tikra nenumatyta rizika, ypač jei atitinkamas įrenginys yra pigus „Android“ įrenginys.
Tūkstančiams nieko neįtariančių asmenų jų nebrangūs „Android TV“ įrenginiai padarė daug daugiau nei geresnis mėgstamų laidų transliavimas. Nerimą kelia tai, kad šiuose įrenginiuose buvo slapta įterpta kenkėjiškų programų ir jie nesąmoningai dalyvavo sudėtingame sukčiavimo schemų tinkle, galbūt uždirbdami milijonus organizuoto nusikalstamumo grupėms.
Saugumo tyrinėtojas Danielis Milišičius atskleidė, kad žemos kainos televizijos įrenginys, pavadintas T95, ne tik nuo pat pradžių buvo pažeista kenkėjiškų programų, bet ir buvo tik mažas komponentas daug didesnėje ir susirūpinimą keliančioje situacijoje. Po Milisičiaus atradimo papildomi tyrėjai patvirtino jo išvadas, o kibernetinio saugumo įmonė „Human Security“ vėliau atskleidė daugiau informacijos apie platų užkrėstų įrenginių tinklą ir paslėptą nesąžiningą veiklą, susijusią su šiomis iš pažiūros nekenksmingomis srautinio perdavimo dėžutėmis.
Remiantis išskirtinėmis ataskaitomis, „Human Security“ tyrėjai nustatė, kad, be septynių pažeistų „Android TV“ televizijos priedų, planšetinis kompiuteris taip pat buvo užkrėstas kenkėjiškomis programomis. Buvo identifikuota, kad įrenginiuose pavyko rasti specifinių virusų ir galinių durų tipo kenkėjų[1].
Dalis užkrėstų įrenginių galimai dalyvavo didelėje nusikaltimų kampanijoje
Nerimą kelia tai, kad yra požymių, jog apytiksliai 200 skirtingų „Android“ įrenginių modelių taip pat gali būti paveikti, o tai gali išplisti namų ūkiuose, įmonėse ir švietimo įstaigose visose JAV. Tačiau „Android“ įrenginiai yra daugiau nei tiesiog nesąmoningi kibernetinių nusižengimų bendrininkai.
Kibernetinio saugumo vyriausiasis informacijos saugumo pareigūnas (CISO) ir bendrovės „Satori Threat Intelligence and Research“ komandos vadovas Gavinas Reidas šiuos įrenginius lygina su šveicarijos armijos peiliu, darant blogus dalykus internete. Reidas apibūdina požiūrį į sukčiavimą kaip paskirstytą ataką, o įrenginiai prisideda prie tarpusavyje sujungto kibernetinės apgaulės ir nelegalaus uždarbio tinklo[2].
Nuodugnus „Human Security“ tyrimas atskleidžia dvejopą operaciją: „Badbox“, kurioje pagrindinis dėmesys skiriamas „Android“ įrenginiams, susijusiems su įvairia sukčiavimo ir elektroninių nusikaltimų veikla; ir „Peachpit“ – susieta skelbimų sukčiavimo operacija, apimanti mažiausiai 39 programas „Android“ ir „iOS“ platformose.
Reaguodami į „Human Security“ išvadas, „Google“ pašalino pažeistas programas, o „Apple“ pradėjo spręsti problemas, nustatytas keliose programose, apie kurias pranešta. Gilinantis į „Badbox“, pastebima, kad šios pažeistos „Android“ srautinio perdavimo dėžutės paprastai parduodamos už mažiau nei 50 USD ir yra prieinamos tiek internete, tiek fizinėse parduotuvėse.
Tyrėjai suveda galus ir sieja problemas su Kinija
Dažnai be prekės ženklo arba parduodami įvairiais pavadinimais, šių įrenginių kilmę gaubia paslaptis, todėl jų šaltinį sunku atsekti. Saugumo tyrėjai nustatė „Android“ programą, susietą su neautentišku srautu ir prijungtą prie domeno flyermobi.com 2022 m. antroje pusėje. Šis domenas taip pat buvo paminėtas pradinėje Milisičiaus ataskaitoje apie „Android“ televizijos dėžutę T95.
Atlikusi tolesnį tyrimą, „Human Security“ įsigijo ir ištyrė T95 įrenginius kartu su kitais ir pradėjo gilesnį šių įrenginių tyrimą. Jų tyrimai patvirtino, kad iš viso aštuoniuose įrenginiuose buvo įrengtos užpakalinės durys (backdoors), įskaitant septynias televizorių dėžutes (T95, T95Z, T95MAX, X88, Q9, X12PLUS ir MXQ Pro 5G) ir vieną planšetinį kompiuterį (J5-W). Šie įrenginiai parodė „Badbox“ užsikrėtimo požymių, kurie paveikė maždaug 74 000 „Android“ įrenginių visame pasaulyje, įskaitant tuos, kurie buvo naudojami Amerikos mokyklose.
Pažeisti įrenginiai, pagaminti Kinijoje, yra pakeisti, kad būtų įtrauktos programinės aparatinės įrangos užpakalinės durys, neskelbiamoje vietoje, kol perpardavėjai juos negauna. Šios konkrečios užpakalinės durys pakeičia „Android“ operacinės sistemos elementą, leidžiantį neteisėtai pasiekti įrenginyje įdiegtas programas. Naudotojui nežinant, šie įrenginiai prisijungia prie komandų ir valdymo (C2) serverio Kinijoje po aktyvavimo ir gauna nurodymus vykdyti įvairią kenkėjišką veiklą.
Sukompromituoti įrenginiai yra susiję su kelių rūšių sukčiavimu, įskaitant sukčiavimą reklamoje, tarpinio serverio paslaugas (kurios parduoda prieigą prie privačių namų tinklų), netikrų „Gmail“ ir „WhatsApp“ paskyrų kūrimą ir nuotolinį kodo įdiegimą. „Human Security“ ataskaitoje teigiama, kad už šią schemą atsakinga grupė turėjo komercinę prieigą prie daugiau nei 10 milijonų namų IP adresų ir 7 milijonų mobiliųjų IP adresų[3].
Daugiau nei 20 milijonų galimai pažeistų įrenginių pasaulyje
Šios išvados atitinka kitų šios srities tyrėjų stebėjimus ir atliekamus tyrimus. Ekspertai pastebėjo, kad yra dvi Kinijos grėsmių grupės, naudojančios „Android“ įrenginius su užpakalinėmis durimis. Teigiama, kad šių grupių užkrėstų įrenginių yra gana daug, skelbiama, kad visame pasaulyje užkrėsti daugiau nei 20 milijonų įrenginių ir iki 2 milijonų įrenginių bet kuriuo momentu yra aktyvūs internete.
Dėl lengvo įsiskverbimo į tiekimo grandines ir iššūkių, su kuriais susiduria gamintojai, aptikdami šiuos kompromisus, galima manyti, kad tai gali turėti įtakos daugeliui „Android“ sistemų, galbūt net ir transporto priemonių. Šiems tyrimams besiplečiant, šių pažeistų įrenginių tikrovė ir jų pasekmės vartotojams tampa vis akivaizdesnės ir keliančios nerimą. Šis sudėtingas tarpusavyje sujungtų įrenginių ir sukčiavimo schemų tinklas pabrėžia atsargumo ir deramo kruopštumo svarbą perkant ir naudojant technologijas.
Papildomas „Human Security“ nustatytos platesnės kibernetinio saugumo grėsmės elementas yra žinomas kaip „Peachpit“, nesąžiningas komponentas, įsitvirtinęs įvairiose programose, prieinamose televizoriuose, „Android“ telefonuose ir „iPhone“. Šis atradimas, kaip minėjo ekspertai, atspindi daugialypį kibernetinės grėsmės scenarijų, kai buvo nustatyta, kad 39 įvairiose platformose esančios programos prisidėjo prie nesąžiningos veiklos.
Tarp šių programų vartotojai gali rasti iš pažiūros nekenksmingų programų, skirtų padėti lavinti šešis pilvo raumenis arba sekti kasdienį vandens suvartojimą. Tačiau šios programos toli gražu nebuvo geranoriškos ir atlieka daugybę nesąžiningų operacijų, kurių vartotojas nežinojo. Šios operacijos apėmė paslėptų skelbimų rodymą, suklastoto žiniatinklio srauto generavimą ir kenkėjiškos reklamos vykdymą[4].
Remiantis atliktais tyrimais, „Peachpit“ platinami skelbimai buvo išskirtinai aktyvūs ir kasdien sulaukdavo stulbinančių 4 milijardų skelbimų užklausų. Šis kibernetinis puolimas paveikė maždaug 121 000 „Android“ įrenginių ir 159 000 „iOS“ įrenginių, o „Android“ pagrindu veikiančios programos iš viso atsiųsta iki 15 mln. Labai svarbu pažymėti, kad „Badbox“ užpakalinės durys buvo išskirtinai identifikuotos „Android“ įrenginiuose, apsaugodamos „iOS“ įrenginius nuo šios konkrečios grėsmės. Nustatyta, kad net ir turėdami neišsamų duomenų rinkinį dėl sudėtingo reklamos pramonės pobūdžio, asmenys, atsakingi už šias suderintas schemas, per vieną mėnesį galėjo uždirbti apie 2 mln.
