Badbox c’est le nom donné par une étude à une pratique mafieuse touchant l’industrie des appareils Android en général et des TV-Box en particulier. Une étude qui dévoile des chiffres effrayants en ce qui concerne le nombre d’appareils infectés.
Je vous en parlais il y a peu, j’ai arrêté de suivre l’actualité des TV-Box Android il y a un bon moment maintenant. Mon constat assez amer au moment où j’ai pris cette décision était triple. Le premier était dans la course effrénée aux nouveaux modèles qui se suivaient sans cesse. A peine une Box sortie qu’une nouvelle était annoncée, souvent pour corriger juste un bug de la première. Plus rentable que de faire une mise à jour, les constructeurs préféraient lancer de nouvelles versions plutôt que de suivre les anciens modèles. Le fait que les TV-Box soient vendues à des prix très bas – entre 20 et 30€ – justifiant selon eux cette méthode.
Corollaire de ce premier problème, un second souci se posait. Aucun suivi n’était proposé pour ces TV-Box. En cas de bug du système entier ou d’une application essentielle, la box était le plus souvent bonne à mettre à la poubelle… Un gâchis de ressources énorme et une dépense finalement importante pour le client. Ce qui m’avait donné envie de publier un long billet sur les Nvidia Shield TV en 2018 où j’expliquais que la différence de tarif entre une TV-Box noname et celle de Nvidia finissait par se justifier amplement dans le temps.
Troisième souci, le comportement étrange de ces appareils. J’avais déjà remarqué alors que certaines box, envoyées par des revendeurs, réagissaient bizarrement. Des engins qui se mettaient à envoyer et recevoir des tonnes de données dès leur branchement à un réseau. Sans que cela ne se justifie à l’usage. Pourquoi une TV-Box aurait besoin d’envoyer et de recevoir des centaines de Mo/s si je ne lui demande rien, juste en l’allumant la première fois, sans avoir même lancé une application ou une mise à jour. Ces pratiques étaient très inquiétantes d’un point de vue de sécurité.
Ces trois éléments conjugués m’ont fait baisser le rideau de cette rubrique sur minimachines. Fini les TV-Box noname malgré les nombreux modèles que je recevais et que je continue à recevoir de temps en temps. Aujourd’hui, avec du recul, cette décision s’avère finalement très positive.
La mafia des TV-Box
C’est à une échelle industrielle que Badbox a opéré. Cette appellation désigne l’infection de dizaines de milliers d’appareils Android de tout type avec un logiciel malveillant baptisé Triada. Le terme rappelle sans ambiguïté les triades mafieuses et l’ensemble des applications employées opère bel et bien pour le compte d’organisations de ce type. Les appareils infectés sont divers mais le vecteur principal semble être les TV-Box. Peu chères, utilisées en masse pour un usage connecté, exploitées comme des objets indépendants de tout pilotage informatique, ce sont les vecteurs parfaits pour piloter un large réseau de machines zombies.
Plus de 200 modèles de TV-Box ont été recensés comme infectés par Triada. 80% des TV-Box « noname » seraient concernées mais d’autres vecteurs seraient également à l’œuvre. En particulier des applications diverses, souvent des copies de copies d’applications existantes comme une calculatrice, un convertisseur de mesures ou une boussole. Des apps qui sont proposées par d’autres apps et qui tissent chaque jour un réseau de plus en plus étoffé. Cet ensemble de machines infectées a servi aux pirates comme une base arrière pour plusieurs opérations différentes : vol de données, création de comptes en masse, fraude publicitaire et création de portes dérobées pour venir fouiner dans les différents appareils.
Google et Apple ont évidemment pris le taureau par les cornes et fait le ménage dans ces applications malveillantes. Là où le problème subsiste c’est dans les appareils infectés dès leur sortie d’usine. Les fameuses TV-Box « noname ». Les fabricants à la recherche de la meilleure rentabilité possible se sont laissés tenter par diverses sources de revenus et d’économie. Quand différents acteurs se sont présentés avec des systèmes prêts à l’emploi, particulièrement travaillés pour l’usage d’une TV-Box et totalement gratuits, ils se sont évidemment laissez faire.
Un contact m’expliquait en 2017 que certaines images d’Android étaient injectées en masse sur les appareils en se basant juste sur des composants standard : SoC embarqué et puces réseau.Le contenu de l’image n’était pas vraiment au cœur des préoccupation du fabricant. Certains constructeurs recevaient de l’argent pour chaque installation logicielle de ce type. Un phénomène classique issu des applications publicitaires. Quand vous découvrez que votre ordinateur à un système qui pointe vers un jeu vidéo ou un service de streaming par exemple. Des éléments qui ne sont pas présents dans l’image d’origine du système. Le constructeur a perçu quelque chose de l’éditeur du service pour ajouter un lien vers son produit. Pour une usine qui vend des machines proposées à 20 à 25€ au public, qui ne lui rapportent que quelques euros pièce, il y a beaucoup de marge à gagner en récupérant quelques centimes liés à la pub. Ajouter des applications sur son image système n’est pas bien compliqué. Si en plus on n’est pas responsable de la création et du développement dudit système, c’est encore plus intéressant financièrement parlant. Si enfin on n’est pas le nom qui apparait sur la TV-Box à la fin… On ne risque rien.
Et c’est comme cela que Triada a fini par devenir un véritable fléau pour cette industrie. Les TV-Box ont reçu de plus en plus de systèmes basés sur « Android Open Source Project », une version Open Source d’Android, non certifiée par Google et totalement gratuite. Si AOSP est « propre » par défaut, c’est un excellent terrain de jeu pour des pirates en herbe qui peuvent le détourner pour y glisser les infections de leur choix. D’autant que le tatouage logiciel exécuté par Google pour vérifier le système lorsqu’il se connecte au Google Store n’est pas activé. « Play Protect », qui assure cette traçabilité de l’image du système, n’est pas pris en charge. Il suffit donc au pirate de proposer un accès alternatif au magasin d’applications de Google pour que la validation des applications téléchargées ne soit plus active.
C’est ainsi que des tablettes, des smartphones, des télé connectées et des TV-Box sont non seulement livrées au public avec des logiciels malveillants mais que rien ne les empêche ensuite d’en télécharger de nouveaux, volontairement ou involontairement. Human Security, aux manettes de ce rapport concernant Badbox, indique que si au moins 74 000 appareils Android sont infectés par Triada dans le monde. Ils n’ont testé réellement que 7 TV-Box et peuvent avoir laissé passé des milliers d’autres engins sous leur radar.
Un design qui annonce la présence d’une porte dérobée
Badbox : pour quoi faire ?
Une fois que vous connectez un appareil infecté à un réseau, les malwares embarqués s’activent. Sans que l’utilisateur ne s’en aperçoive, l’appareil se connectait à un serveur piloté par les pirates quelque part en Chine. Commençait alors la collecte de données assez intrusives. Si l’appareil est connecté à votre compte Google pour profiter de Youtube ou à d’autres services, des données liées peuvent être rapatriées. Mais d’autres outils peuvent être exploités pour récupérer mot de passe et informations sur des comptes payants. Des accès à des services de streaming, des comptes vers des plateforme de eCommerce et autres peuvent ainsi être piratés.
Le réseau Badbox aurait ainsi accès a des millions d’adresses IP sédentaires et mobiles. De quoi récupérer des données importantes mais aussi donner des idées supplémentaires aux pirates. Un réseau de publicité invisible a ainsi été mené sur ces appareils. Les pirates pouvant facilement « distribuer » des millions et des millions de bannières publicitaires à travers le monde, avec des rapports complets et détaillés de leurs campagnes pour satisfaire les donneurs d’ordre. Aucune de ces publicité n’étant en réalité visible par les utilisateurs finaux puisqu’elles s’exécutaient en arrière plan des usages réels des machines. On peu générer une fausse attention, un temps de consultation des pubs et même des clics sur les différents éléments sans aucun problème. Les utilisateurs ne se lassent jamais de ces pubs, ne choisissent pas de els fermer ou des les ignorer…
Pas un souci pour l’utilisateur ? On peut se dire que le fait de ne pas avoir de pub intrusive sur la TV-Box n’est pas gênant. Mais c’est sans compter le coût de ce type d’opération pour les marques. Si un fabricant de chaussures propose une publicité en ligne, il en répercutera le coût d’affichage dans les produits qu’il vendra ensuite. Le fait que la pub se soit affichée ou non ne change rien à ce problème, elle affectera le prix des produits commercialisés. L’étude parle d’un total de diffusion de 4 milliards de publicités par jour. Toutes invisibles. Mais qui ont évidemment un impact conséquent pour les marques.
Enfin, Badbox se servait de son réseau pour créer des robots logiciels. Ces programmes peuvent intervenir en masse pour différents usages malveillants. Du matraquage de sites par des milliers de faux utilisateurs en même temps pour les faire tomber – un service exécuté comme un point de pression pour un chantage ou comme commande de la part d’un concurrent. Faire tomber un site en quelques clics est un pouvoir assez énorme aux mains d’une entité malveillante.
La création de serveurs proxy est une autre possibilité offert par Triada. On peut facilement se servir de la machine d’un particulier qui, pendant que ce dernier regarde un film, va chercher à se connecter à un service en ligne. Plutôt que de se baser sur l’IP d’un serveur d’un pays différent pour accéder au même service. On peut ainsi se connecter comme si on était un véritable particulier avec une adresse IP locale. Cela sert à tester des sites sans se faire griller au bout de trois essais. De changer facilement d’IP et de rester discret. Cela peut également servir à utiliser un réseau social à des fins de propagande en trompant les algorithmes avec des adresses IP toujours différentes. Créer de faux comptes, les remplir de messages et avoir une armée de robots prête à soutenir telle ou telle cause ou relayer telle ou telle opération marketing…
Que faire si on a une TV-Box Noname?
Que faire si on a une TV-Box Android noname dont on n’est pas sûr ? Il existe trois solutions efficaces pour éviter tout problème avec sa Box. La première est la plus simple. Ne plus l’utiliser en mode connecté. On peut très bien la garder en mode déconnecté en l’utilisant comme lecteur de vidéo sur une clé USB par exemple. Cela empêche évidemment l’exploitation des services de streaming comme Youtube ou Netflix mais c’est plus sûr.
L’autre solution est de surveiller – et bloquer – les usages louches de la box. Ce qui nécessite des compétences spécifiques. Il faut identifier les entrées et sorties réseau de la box et bloquer celles dont le comportement est anormal. Ou, plus facile, n’autoriser que des comportements spécifiques comme l’accès à un service de streaming par exemple. Mais le risque est de devoir maintenir cette surveillance dans le temps, les logiciels employés pouvant muter et changer de comportement.
La dernière et la plus radicale des solutions est de ne plus employer son appareil… Ce qui est évidemment un sacrifice. Surtout si il s’agit d’une tablette ou d’un téléviseur. Mais c’est peut être moins cher que de se rendre compte qu’on a perdu l’accès à ses réseaux sociaux ou que son compte en banque a été piraté…
La fin de Badbox ?
Des contre mesures ont été mise en place par différents acteurs afin de lutter contre ce réseau. La fraude publicitaire a été révélée et le nombre de requêtes a drastiquement diminué. Les développeurs de Triada ont tenté de modifier leur approche en mettant à jour les appareils connectés infectés. Tentative repérée par les chercheurs en sécurité et qui a finalement conduit à la disparition de certains serveurs en Chine. Est-ce la fin de Badbox pour autant ? Je n’en suis pas si sûr. Tant que le public sera prêt à craquer pour un appareil à 20-25€ qui ne donnera aucune information sur son constructeur et son système d’exploitation, ce type d’opération perdurera. Tant que la presse en ligne relaiera ce genre de machines, elles continueront à être vendues. Tant que des places de marché continueront de proposer ces engins en masse, la mafia à l’origine de ces réseaux pourra continuer à prospérer.
Source : Human Security et Wired. Merci à Sam pour sa veille.
| 2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
Hello, merci pour cet article. Je l’ai déjà signalé @ici : il est aussi parfois possible d’installer un autre OS dans sa TV-Box si celle-ci est compatible. Sur les SoC Amlogic, il y a https://coreelec.org qui est un système Linux intégrant Kodi, c’est ce que j’ai mis sur ma Beelink GT1 Ultimate de 2017. Il en existe peut-être d’autres selon votre SoC.
Pour aller plus loin, pour ceux qui ont la Freebox Revolution, vous pouvez activer le « Wifi invité » et y connecter votre TV-Box dessus afin de l’empêcher de potentiellement infecter les autres appareils connectés au réseau principal de la Freebox.
purée pierre il m’a fait acheter des virus :
mecool-m8s-pro-plus-55985
vite une maj de secours
https://www.minimachines.net/bons-plans/mecool-m8s-pro-plus-55985
Pierre n’existe pas. C’est une création chinoise destinée à t’infecter, toi et tes semblables.