TV 스트리밍 박스를 구매할 때 예상하지 못한 일이 몇 가지 있습니다. 은밀하게 악성코드를 심어서도 안 되고, 부팅하자마자 중국 서버와 통신을 시작해도 안 됩니다. 사기를 통해 수백만 달러를 벌기 위한 조직 범죄 계획의 노드 역할을 해서는 안 됩니다. 그러나 값싼 Android TV 기기를 소유하고 있는 정보가 없는 수천 명의 사람들에게는 이것이 현실입니다.

지난 1월, 보안 연구원인 Daniel Milisic은 T95라고 불리는 저렴한 Android TV 스트리밍 박스가 구입하자마자 악성 코드에 감염되었음을 발견했으며, 이는 다른 여러 연구원들에 의해 확인되었습니다. 그러나 이것은 빙산의 일각에 불과합니다. 이번 주 사이버 보안 회사인 휴먼 시큐리티(Human Security)는 감염된 장치의 범위와 스트리밍 박스와 관련된 사기 계획의 숨겨진 상호 연결된 네트워크에 대한 새로운 세부 정보를 공개했습니다.

Human Security의 연구원들은 백도어가 설치된 7개의 Android TV 박스와 1개의 태블릿을 발견했으며, 200개의 다양한 Android 기기 모델이 잠재적으로 영향을 받았다는 사실도 발견했습니다. 이러한 장치는 미국 전역의 가정, 회사, 학교에서 찾아볼 수 있습니다. 한편 휴먼 시큐리티(Human Security)는 이 계획과 관련된 광고 사기도 적발했는데, 이는 운영 비용을 지불하는 데 도움이 되었을 가능성이 있다고 밝혔습니다.

Human Security의 CISO인 Gavin Reid는 "그들은 인터넷에서 나쁜 일을 하는 스위스 군용 칼과 같습니다."라고 말했습니다. "이것은 실제로 분산된 형태의 사기입니다." Reid는 회사가 장치가 제조되었을 수 있는 시설에 대한 세부 정보를 법 집행 기관과 공유했다고 말했습니다.

Human Security의 연구는 손상된 Android 기기와 사기 및 사이버 범죄에 연루될 수 있는 방식과 관련된 Badbox라는 두 가지 영역으로 나뉩니다. Peachpit으로 알려진 두 번째 영역은 최소 39개의 Android 및 iOS 앱이 관련된 광고 사기 활동이었습니다. 구글은 휴먼 시큐리티(Human Security)의 조사에 따라 해당 앱을 제거했다고 밝혔고, 애플은 보고된 여러 앱에서 문제를 발견했다고 밝혔습니다.

먼저 배드박스(Badbox)입니다. 저렴한 Android 스트리밍 박스는 일반적으로 50달러 미만이며 온라인과 매장에서 구입할 수 있습니다. 이러한 셋톱박스는 종종 브랜드가 없거나 다른 이름으로 판매되어 부분적으로 출처가 모호합니다. 휴먼 시큐리티(Human Security)는 보고서에서 2022년 하반기에 연구원들이 허위 트래픽에 연결되어 있고 Flyermobi.com 도메인 이름에 연결된 것으로 보이는 안드로이드 앱을 발견했다고 밝혔습니다. Milicic이 올해 1월 T95 Android 박스에 대한 초기 조사 결과를 발표했을 때 이 연구에서는 Flyermobi 도메인 이름도 지적했습니다. Humanity 팀은 이 상자와 다른 여러 상자를 구입하여 파헤치기 시작했습니다.

연구원들은 전체적으로 백도어가 설치된 8개의 장치를 식별했습니다. 즉, TV 박스 7개(T95, T95Z, T95MAX, X88, Q9, X12PLUS 및 MXQPro5G)와 태블릿 1개(J5-W)입니다. (이러한 문제 중 일부는 최근 몇 달 동안 다른 보안 연구원들에 의해서도 발견되었습니다.) 데이터 과학자 Marion Habiby가 이끄는 이 회사의 보고서에 따르면 Human Security는 미국 학교를 포함하여 전 세계적으로 최소 74,000개의 Android 기기에서 Badbox 감염 징후를 보이는 것을 발견했습니다.

이 TV 세트는 중국에서 제조됩니다. 연구원들은 리셀러에게 도달하기 전에 펌웨어 백도어가 어디에 추가되었는지 정확히 알지 못합니다. 이 백도어는 보안 회사인 Kaspersky가 2016년에 처음 발견한 Triada 악성 코드를 기반으로 합니다. 이 악성 코드는 Android 운영 체제의 요소를 수정하여 장치에 설치된 애플리케이션에 자체적으로 액세스할 수 있도록 합니다. 그런 다음 집에 전화합니다. Reed는 "사용자가 모르는 사이에 이 장치를 연결하면 중국 명령 및 제어(C2) 시스템으로 들어가 명령 세트를 다운로드한 다음 나쁜 작업을 시작합니다."라고 말했습니다.

Human Security는 손상된 장치와 관련된 다양한 유형의 사기를 추적했습니다. 여기에는 광고 사기가 포함됩니다. 그룹이 홈 네트워크에 대한 액세스를 판매하는 주거용 프록시 서비스; 가짜 Gmail 및 WhatsApp 계정을 만들기 위해 연결을 이용합니다. 원격 코드 설치. 회사 보고서에 따르면 이번 공격의 배후자는 주거용 네트워크에 대한 액세스 권한을 상업적으로 판매하고 있으며 자신들이 1천만 개 이상의 가정용 IP 주소와 700만 개 이상의 모바일 IP 주소에 액세스할 수 있다고 주장했습니다.

이러한 발견은 다른 연구자 및 진행 중인 조사와 일치합니다. 보안업체 트렌드마이크로(Trend Micro)의 수석 위협 연구원인 표도르 야로치킨(Fyodor Yarochkin)은 백도어 안드로이드 기기를 사용하는 두 개의 중국 위협 그룹을 발견했다고 밝혔습니다. 하나는 심층적으로 조사했고 다른 하나는 휴먼 보안 회사에서 조사했습니다. Yarochkin은 "기기의 감염 프로필은 매우 유사합니다."라고 말했습니다.

트렌드마이크로는 조사 중인 조직을 위해 중국에서 "프론트 엔드 회사"를 찾았습니다. "그들은 전 세계적으로 2천만 대 이상의 장치가 감염되었다고 주장하며, 동시에 최대 200만 대의 장치가 온라인에 연결되어 있다고 주장합니다. Trend Micro의 네트워크 데이터에 따르면 Yarochkin은 이 숫자가 신뢰할 수 있다고 믿습니다." "심지어 유럽의 한 박물관에도 영향을 받은 태블릿이 있습니다. 자동차 시스템을 포함하여 많은 수의 Android 시스템이 영향을 받을 수 있다고 생각합니다. 이러한 시스템은 공급망에 쉽게 침투할 수 있으며 제조업체가 감지하기가 정말 어렵습니다."

휴먼 시큐리티(Human Security)가 피치핏(Peachpit)이라고 부르는 것도 있는데, 이는 TV 박스는 물론 안드로이드 휴대폰, 아이폰에 나타나는 앱 기반 사기 행위입니다. 회사는 39개의 Android, iOS 및 TV 박스 앱이 관련되어 있음을 발견했습니다. 회사의 보안 연구원인 Joao Santos는 "이것들은 템플릿 기반 애플리케이션이지 품질이 좋지 않습니다."라고 말했습니다.

해당 앱은 광고 숨기기, 네트워크 트래픽 스푸핑, 악성 광고 등 다양한 사기 행위를 수행했습니다. Peachpit 뒤에 있는 사람들은 Badbox 뒤에 있는 사람들과 다른 것처럼 보이지만 그들은 어떤 방식으로든 함께 일했을 가능성이 있다고 연구는 말했습니다. 산토스는 소프트웨어 개발 키트를 언급하며 "그들은 광고 사기를 담당하는 SDK를 가지고 있으며 우리는 Badbox에서 제공되는 모듈 이름과 일치하는 이 SDK 버전을 발견했습니다"라고 말했습니다. "그것은 우리가 발견한 또 다른 연결 계층입니다."

Human Security의 조사에 따르면 관련 광고는 매일 40억 건의 광고 요청을 보내 121,000대의 Android 기기와 159,000대의 iOS 기기에 영향을 미칩니다. 연구원들은 안드로이드 앱이 총 1,500만 번 다운로드되었다고 계산했습니다. 회사가 보유한 데이터(광고 산업의 복잡성으로 인해 포괄적이지 않음)에 따르면 운영 담당자는 단 한 달 만에 쉽게 200만 달러를 벌 수 있다고 합니다.

Google 대변인 Ed Fernandez는 Human Security가 보고한 20개의 Android 앱이 Play 스토어에서 삭제되었음을 확인했습니다. Fernandez는 Android 기기에 대한 Google의 보안 테스트 시스템을 언급하면서 "Badbox에 감염된 것으로 발견된 외부 브랜드 기기 중 PlayProtect 인증 Android 기기는 하나도 없었습니다."라고 말했습니다. "기기가 PlayProtect 인증을 받지 않은 경우 Google에는 보안 및 호환성 테스트 결과에 대한 기록이 없습니다." 회사에는 인증된 Android TV 파트너 목록이 있습니다. Apple 대변인 Archelle Thelemaque는 Apple이 Human이 보고한 앱 중 5개가 Apple의 지침을 위반했다는 사실을 발견했으며 개발자에게 규칙을 준수할 수 있는 14일의 시간을 주었다고 말했습니다. 보도 시점 현재 이들 중 4명이 이 작업을 수행했습니다.

리드는 휴먼시큐리티가 2022년 말과 올해 상반기에 광고 사기 혐의로 배드박스(Badbox)와 피치핏(Peachpit)에 대해 조치를 취했다고 전했다. 회사에서 제공한 데이터에 따르면 이러한 프로그램의 사기성 광고 요청 수가 이제 완전히 감소했습니다. 그러나 공격자는 실시간으로 이러한 간섭에 적응합니다. 산토스는 대응책이 처음 배치되었을 때 공격 배후가 상황을 혼란시키기 위해 업데이트를 보내기 시작했다고 말했습니다. Badbox 배후의 공격자들은 펌웨어 백도어를 구동하는 C2 서버를 파괴했다고 그는 말했습니다.

공격자들의 활동은 둔화되었지만 상자는 여전히 사람들의 집과 온라인에 남아 있습니다. 악성코드는 기술적 능력이 없으면 제거하기 어렵습니다. "이러한 '배드박스'는 일종의 잠자는 세포라고 생각할 수 있습니다. 그들은 단지 일련의 지시를 기다리고 있을 뿐입니다."라고 Reed는 말했습니다. 마지막으로, TV 스트리밍 박스를 구매하시는 분들은 제조사가 명확하고 신뢰할 수 있는 브랜드 기기를 구매하시는 것을 추천드립니다. "친구들이 이상한 IoT 장치를 홈 네트워크에 연결하는 것을 친구가 허용하지 않기 때문입니다."

전체 안전 보고서를 읽어보세요:

https://www.humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf