عند شراء جهاز بث تلفزيوني، هناك بعض الأشياء التي لا تتوقع أن يفعلها. ولا ينبغي أن تكون قادرة على زرع برامج ضارة خلسة، ولا ينبغي لها أن تبدأ في الاتصال بالخوادم في الصين بمجرد تشغيلها. لا ينبغي أبدًا أن تكون بمثابة عقدة في مخطط الجريمة المنظمة لكسب ملايين الدولارات من خلال الاحتيال. ومع ذلك، بالنسبة لآلاف الأشخاص غير المطلعين الذين يمتلكون أجهزة Android TV رخيصة الثمن، فهذا هو الواقع.
في شهر يناير، اكتشف الباحث الأمني دانييل ميليسيتش أن جهاز بث تلفزيوني رخيص يعمل بنظام Android يُسمى T95 كان مصابًا ببرامج ضارة بمجرد إخراجه من الصندوق، وهو اكتشاف أكده العديد من الباحثين الآخرين. ولكن هذا مجرد غيض من فيض. كشفت شركة الأمن السيبراني Human Security هذا الأسبوع عن تفاصيل جديدة حول نطاق الأجهزة المصابة وشبكة مخفية ومترابطة من مخططات الاحتيال المرتبطة بصناديق البث.
وعثر الباحثون في Human Security على سبعة صناديق تلفزيون تعمل بنظام Android وجهاز لوحي واحد مزود بأبواب خلفية مثبتة، واكتشفوا أيضًا أن 200 طراز مختلف من أجهزة Android قد تكون متأثرة. توجد هذه الأجهزة في المنازل والشركات والمدارس في جميع أنحاء الولايات المتحدة. وفي الوقت نفسه، قالت شركة Human Security إنها كشفت أيضًا عن عمليات احتيال إعلانية تتعلق بالمخطط، والتي من المحتمل أن تكون قد ساعدت في دفع تكاليف العملية.
وقال جافين ريد، رئيس أمن المعلومات في شركة Human Security: "إنهم مثل سكين الجيش السويسري لفعل أشياء سيئة على الإنترنت". "إنه شكل من أشكال الاحتيال الموزع حقًا." وقال ريد إن الشركة شاركت التفاصيل مع وكالات إنفاذ القانون حول المنشآت التي ربما تم تصنيع الأجهزة فيها.
تنقسم أبحاث Human Security إلى مجالين: Badbox، والذي يتضمن أجهزة Android المخترقة والطرق التي يمكن أن تتورط بها في عمليات الاحتيال والجرائم الإلكترونية. المنطقة الثانية، المعروفة باسم Peachpit، كانت عبارة عن عملية احتيال إعلانية ذات صلة شملت ما لا يقل عن 39 تطبيقًا يعمل بنظامي Android وiOS. وقالت جوجل إنها أزالت التطبيقات بعد بحث أجرته شركة Human Security، بينما قالت شركة أبل إنها اكتشفت مشكلات في العديد من التطبيقات التي تم إبلاغها بها.
الأول هو Badbox. عادةً ما تكلف صناديق البث الرخيصة لنظام Android أقل من 50 دولارًا وهي متاحة عبر الإنترنت وفي المتاجر. غالبًا ما تكون أجهزة فك التشفير هذه بدون علامة تجارية أو تُباع تحت أسماء مختلفة، مما يحجب أصلها جزئيًا. وقالت شركة Human Security في تقريرها إنه في النصف الثاني من عام 2022، اكتشف باحثوها تطبيق Android يبدو أنه مرتبط بحركة مرور غير حقيقية ومتصل باسم نطاق flyermobi.com. عندما أصدر Milicic النتائج الأولية التي توصل إليها حول جهاز T95 Android في يناير من هذا العام، أشار البحث أيضًا إلى اسم نطاق flyermobi. قام فريق Humanity بشراء هذا الصندوق والعديد من الصناديق الأخرى وبدأوا في التنقيب فيه.
في المجمل، حدد الباحثون ثمانية أجهزة مثبتة على الباب الخلفي - سبعة صناديق تلفزيون، T95، T95Z، T95MAX، X88، Q9، X12PLUS وMXQPro5G، وجهاز لوحي واحد، J5-W. (تم اكتشاف بعض هذه المشكلات أيضًا من قبل باحثين أمنيين آخرين في الأشهر الأخيرة). وقال تقرير الشركة، بقيادة عالمة البيانات ماريون حبيبي، إن شركة Human Security عثرت على ما لا يقل عن 74000 جهاز يعمل بنظام Android في جميع أنحاء العالم تظهر عليها علامات الإصابة بـ Badbox، بما في ذلك بعض المدارس الأمريكية.
يتم تصنيع أجهزة التلفزيون هذه في الصين. لا يعرف الباحثون بالضبط أين تمت إضافة الباب الخلفي للبرامج الثابتة في مكان ما قبل وصولهم إلى الموزعين. يعتمد الباب الخلفي على برنامج Triada الضار الذي اكتشفته شركة الأمن Kaspersky لأول مرة في عام 2016، والذي يقوم بتعديل عنصر في نظام التشغيل Android للسماح لنفسه بالوصول إلى التطبيقات المثبتة على الجهاز. وبعد ذلك، فإنه يدعو المنزل. وقال ريد: "دون علم المستخدم، عندما تقوم بتوصيل هذا الشيء، فإنه ينتقل إلى نظام القيادة والتحكم الصيني (C2)، ويقوم بتنزيل مجموعة التعليمات، ثم يبدأ في القيام ببعض الأشياء السيئة".
لقد تتبعت Human Security العديد من أنواع الاحتيال المتعلقة بالأجهزة المخترقة. وتشمل هذه الاحتيال في الإعلانات؛ خدمات الوكيل السكنية، حيث تبيع المجموعات إمكانية الوصول إلى الشبكات المنزلية؛ استغلال الاتصالات لإنشاء حسابات وهمية على Gmail وWhatsApp؛ وتثبيت الرمز عن بعد. وقال تقرير الشركة إن الجهات الفاعلة التي تقف وراء الهجوم كانت تبيع تجاريًا إمكانية الوصول إلى الشبكات السكنية، زاعمة أن لديهم إمكانية الوصول إلى أكثر من 10 ملايين عنوان IP منزلي وأكثر من 7 ملايين عنوان IP للهاتف المحمول.
هذه النتائج تتفق مع الباحثين الآخرين والتحقيقات الجارية. وقال فيودور ياروشكين، كبير الباحثين في مجال التهديدات في شركة تريند مايكرو الأمنية، إن الشركة اكتشفت مجموعتي تهديد صينيتين تستخدمان أجهزة أندرويد ذات أبواب خلفية، إحداهما بحثت بعمق والأخرى حققت فيها شركات الأمن البشري. وقال ياروشكين: "إن ملف تعريف الإصابة بالأجهزة متشابه للغاية".
وجدت تريند مايكرو "شركة واجهة أمامية" في الصين للمنظمة التي كانت تحقق فيها. وأضاف: "يزعمون أن لديهم أكثر من 20 مليون جهاز مصاب في جميع أنحاء العالم، مع ما يصل إلى 2 مليون جهاز متصل بالإنترنت في وقت واحد. واستنادًا إلى بيانات شبكة Trend Micro، يعتقد ياروشكين أن هذه الأرقام موثوقة". "حتى أن هناك جهازًا لوحيًا متأثرًا في أحد المتاحف في أوروبا. وأعتقد أنه قد يكون هناك عدد كبير من أنظمة Android المتأثرة، بما في ذلك الأنظمة الموجودة في السيارات. ويمكنها اختراق سلسلة التوريد بسهولة، ومن الصعب حقًا على الشركات المصنعة اكتشافها."
هناك أيضًا ما يطلق عليه Human Security اسم Peachpit، وهو عبارة عن عملية احتيال تعتمد على التطبيقات وتظهر على صناديق التلفزيون بالإضافة إلى هواتف Android وiPhone. وجدت الشركة 39 تطبيقًا لأنظمة التشغيل Android وiOS وTV box. وقال جواو سانتوس، الباحث الأمني في الشركة: "هذه تطبيقات قائمة على القوالب، وليست ذات جودة عالية".
نفذت التطبيقات مجموعة من الممارسات الخادعة، بما في ذلك إخفاء الإعلانات وانتحال حركة مرور الشبكة والإعلانات الضارة. وقالت الدراسة إنه في حين أن الأشخاص الذين يقفون وراء Peachpit يبدو أنهم مختلفون عن أولئك الذين يقفون وراء Badbox، فمن المحتمل أنهم عملوا معًا بطريقة ما. وقال سانتوس، في إشارة إلى مجموعة أدوات تطوير البرامج: "لديهم مجموعة أدوات تطوير البرمجيات (SDK) المسؤولة عن الاحتيال في الإعلانات، وقد وجدنا نسخة من أدوات تطوير البرامج (SDK) هذه تطابق اسم الوحدة التي يتم تقديمها على Badbox". "هذه طبقة أخرى من الاتصال وجدناها."
وفقًا لبحث أجرته Human Security، ترسل الإعلانات المعنية 4 مليارات طلب إعلان يوميًا، مما يؤثر على 121000 جهاز يعمل بنظام Android و159000 جهاز يعمل بنظام iOS. حسب الباحثون أنه تم تنزيل تطبيقات Android ما مجموعه 15 مليون مرة. وفقًا للبيانات التي تحتفظ بها الشركة (وهي ليست شاملة بسبب تعقيد صناعة الإعلان)، يمكن للشخص الذي يقف وراء العملية أن يكسب بسهولة 2 مليون دولار في شهر واحد فقط.
وأكد المتحدث باسم جوجل، إد فرنانديز، أنه تمت إزالة 20 تطبيقًا لنظام Android أبلغت عنها Human Security من متجر Play. وقال فرنانديز: "لم تكن أي من الأجهزة التي لا تحمل علامة تجارية مصابة ببرنامج Badbox عبارة عن أجهزة Android معتمدة من PlayProtect"، في إشارة إلى نظام اختبار أمان Google لأجهزة Android. "إذا لم يكن الجهاز معتمدًا من PlayProtect، فلن يكون لدى Google أي سجل لنتائج اختبارات الأمان والتوافق." لدى الشركة قائمة بشركاء Android TV المعتمدين. وقالت المتحدثة باسم شركة آبل، أرشيل ثيلماك، إن شركة آبل وجدت أن خمسة من التطبيقات التي أبلغ عنها Human انتهكت إرشادات شركة آبل ومنحت المطورين 14 يومًا للامتثال للقواعد. وحتى وقت كتابة المقالة، قام أربعة منهم بذلك.
وقال ريد إنه في أواخر عام 2022 والنصف الأول من هذا العام، اتخذت Human Security إجراءات ضد Badbox وPeachpit بتهمة الاحتيال في الإعلانات. ووفقا للبيانات التي قدمتها الشركة، فقد انخفض الآن عدد طلبات الإعلانات الاحتيالية من هذه البرامج بشكل كامل. ومع ذلك، يتكيف المهاجمون مع هذا التدخل في الوقت الفعلي. وقال سانتوس إنه عندما تم نشر الإجراءات المضادة لأول مرة، بدأ من يقفون وراء الهجوم بإرسال تحديثات لإرباك الوضع. وقال إن الجهات الفاعلة التي تقف وراء Badbox قامت بعد ذلك بتدمير خادم C2 الذي يقوم بتشغيل الباب الخلفي للبرامج الثابتة.
وبينما تباطأت عمليات المهاجمين، لا تزال الصناديق موجودة في منازل الناس وعلى الإنترنت. يصعب إزالة البرامج الضارة ما لم يكن لدى شخص ما مهارات تقنية. وقال ريد: "يمكنك أن تفكر في هذه" Badboxes "كنوع من الخلايا النائمة. إنها هناك فقط في انتظار مجموعة من التعليمات". أخيرًا، بالنسبة لأولئك الذين يشترون جهاز بث تلفزيوني، يوصى بشراء جهاز يحمل علامة تجارية حيث أن الشركة المصنعة واضحة وجديرة بالثقة. لأن "الأصدقاء لن يسمحوا لأصدقائهم بتوصيل أجهزة إنترنت الأشياء الغريبة بشبكاتهم المنزلية."
اقرأ تقرير السلامة الكامل:
https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf