Human Security, firma que ofrece software de defensa contra bots, ha informado de una campaña que se habría encargado de introducir malware en dispositivos Android de TV conectada de marca blanca.
La compañía, que ha bautizado a la campaña como 'Badbox', revela como los dispositivos infectados se han comercializado por menos de los 50 euros.
Los productos podían encontrarse en populares retailers online y sitios de reventa con un conocido malware llamado Triada. "La compañía cibercriminal no discriminó y fueron a por los consumidores de todo el mundo, tanto en los sectores públicos como privados", aclaran desde Human.
Los investigadores de seguridad encontraron más de 200 modelos con malware preinstalado. Cuando adquirieron siete dispositivos en particular, descubrieron que el 80 por ciento estaban infectadas con Badbox.
Los gadgets incluían varios módulos instalados de manera remota. Uno de ellos era de uno de fraude publicitario, al que han denominado 'Peachpit'. En su máximo apogeo este llegó a ejecutar una botnet formada por 121.000 dispositivos con Android por día.
Además, los atacantes también crearon aplicaciones iOS maliciosas que se despegaron en 159.000 terminales Apple al día en el momento álgido de la campaña.
Cadena de suministro 'hackeada'
"Un fabricante chino (probablemente muchos fabricantes) produce una amplia variedad de dispositivos basados en Android, incluyendo teléfonos tabletas y set-top boxes", arranca la explicación de Human Security.
"En algún momento entre la fabricación de esos productos y su entrega a los resellers, las tiendas físicas y los almacenes de ecommerce un firmware de puerta trasera es instalado y las cajas de productos se sellan en plástico, lo que prepara a estos dispositivos para el fraude al llegar a su destino", añade la empresa de seguridad.
Los investigadores, quienes han estado trabajando con Apple y Google para parar a Peachpit, recordaban que cualquiera puede comprar un Badbox online "sin saber que es falso, enchufarlo y abriendo este malware de puerta trasera sin sospecharlo".
"Este malware se puede utilizar para robar PII, ejecutar bots ocultos, crear pares de salida de proxy residenciales, robar cookies y contraseñas de un solo uso, y más esquemas de fraude exclusivos", ha detallado Rosemary Cipriano, de Human Security.