電子發燒友網綜合報道，據海外媒體WIRED報道，2023年，有研究人員披露，一些被用于家庭、學校和企業的數以萬計的安卓電視機頂盒被內置了秘密后門，使這些設備被應用于網絡犯罪和電詐活動中。

如今，同樣有研究人員發現，一些價格便宜，被植入中國生態系統Badbox 2.0的產品，被廣泛投入到市場中，通過這些設備正在推動一場規模更大、更加隱蔽的新一代非法活動。

據網絡安全公司Human Security分享的最新研究顯示，至少已經有100萬臺基于安卓系統的電視流媒體盒、平板電腦、投影儀甚至是后裝的車載信息娛樂系統已經受到了這些惡意軟件的感染，這些設備通常會被網絡詐騙團伙控制的僵尸網絡所征用。

而這些被攻破的設備通常被用于各種欺詐廣告以及所謂的租房代理服務，這就使得這些犯罪分子能夠使用受害者的網絡連接進路由以及掩蓋其網絡流量。并且所有的操作都在后臺進行，因此設備的使用者完全無法察覺。

Human Security的首席信息安全官Gavin Reid表示，這種設備通常非常便宜，但購買這些設備只想觀看一些流媒體的用戶卻對背后的風險一無所知。所有點擊那些彈出的欺詐廣告都都在暗中進行，而這些數百萬設備的主要變現方式是轉售代理服務。受害者從未同意成為代理節點，卻被強制使用。無論是網絡爬蟲還是其他惡意行為，這些代理服務都為其提供了便利。

研究發現，受感染設備主要集中在南美（尤其是巴西），多為無品牌白牌產品。例如，數十款受影響的流媒體盒子中，Badbox 2.0 主要針對“TV98”和“X96”系列設備。這些設備均基于安卓開源代碼開發，雖運行安卓系統但不屬于谷歌的受保護設備生態。

目前谷歌公司已經與研究團隊合作打擊廣告欺詐，谷歌表示已終止涉事發布者賬號，并阻斷其通過谷歌廣告生態牟利的能力。谷歌發言人Nate Funkhouser表示，已經與Human Security等機構共享這些威脅情況，增強識別和打擊惡意行為的能力。

與初代Badbox直接在設備固件植入后門不同，Badbox 2.0轉向更傳統的軟件層攻擊。研究人員指出，攻擊者通過強制下載等常見手段分發惡意軟件，而非依賴底層固件感染。

更值得注意的是，有多家安全機構的研究顯示，該活動背后是松散關聯的詐騙組織聯盟，而非單一犯罪團伙。各組織擁有獨立的Badbox 2.0后門和惡意模塊，并通過多種渠道傳播。部分設備預裝了惡意應用，但更多案例中，用戶被誘導安裝偽裝成合法應用的“孿生惡意程序”。

有研究人員特別指出了一個“釣魚式更新”手法，比如詐騙分子先在應用商店中發布正規應用或游戲軟件來獲取信任，再優勢用戶下載非官方渠道的同名惡意版本。這類孿生應用已經出現了至少24次，不法分子借此在正版應用中實施廣告欺詐，同時在冒牌應用中傳播后門。

Human Security發現，目前已經有超過200個主流應用被詐騙分子通過這類形式進行擴散后門。

另一家與Human Security一同調查的安全公司Trend Micro指出，這一項目背后的運營規模極其龐大，每個團伙都控制著超過百萬的在線設備，而這些僅僅是當前連接平臺的數量，若統計那些所有被植入Payload的設備，總數將超過數百萬。

對此Trend Micro警告消費者，如果一些設備價格低的離譜，就需要做好準備接受隱藏的“驚喜”，天下沒有免費的奶酪，除非那是捕鼠器中的誘餌。不過安全機構也承認，盡管目前已經針Badbox 2.0基礎設施實施“黑洞路由”，將僵尸網絡的指令請求導向空地址，但這種犯罪活動很難徹底終結。

在2024年10份，便曝光了有黑客通過谷歌應用商店安裝最新版本的Necro惡意安卓載入器，該軟件同樣會被加載欺詐廣告，以及為惡意流量提供代理，并且件下載Necro木馬，受影響的安卓設備超過1100萬臺。

?