有料番組の無料を謳う「Android TV BOX」に悪用のおそれ、総務省が一部端末に注意喚起

有料番組の無料「Android TV BOX」は自己責任？？？

これまでAndroid搭載のセットトップボックスはマルウェアが仕込まれているとして何度もニュースになってきた。

それでも「有料番組を無料で視聴」という強力なインセンティブに購入者が後を絶たない。

2023年の話。

2023年10月、CnetはAndroid搭載セットトップボックス「T95」には最初からマルウェアがインストールされていることに触れ、それを利用した攻撃手法「BADBOX」に関するレポートを紹介している。

このレポートを公開したサイバーセキュリティ企業”Human Security”の内容（PDFへ）を簡潔に見ていきたい。

「BADBOX」は一般的なハードウェアのサプライチェーンを通じて販売されたファームウェアのバックドアが予めインストールされた製品のネットワークを指すという。

それらの製品は家庭や会社で起動してネットワークに接続するとコマンド＆コントロール（C6C）サーバーに繋がり、攻撃者からの指示を待ち受ける状態になるようだ。

”Human Security”によれば（当時）少なくとも200の異なるAndroid搭載モデルでBADBOX感染の痕跡を発見したと伝えている。

2025年の話。

2025年3月、WIREDは最新の研究で少なくとも100万台の低価格Android機器が広告詐欺やサイバー犯罪に悪用されていると報じた。

この100万台という数にはストリーミングボックス（Set Top Box）や車載インフォテインメントシステム（Androidを搭載したカーナビやカーオーディオなど）も含まれるという。

同メディアは先ほどの2023年の話題を取り上げたうえで、同じ研究者グループ”Human Security”が新たな脅威を発見したと切り出す。

それは中国を拠点とする不正なエコシステムであり、それを同グループは「BADBOX 2.0」と名付けた。BADBOX2.0は前回よりも規模を拡大、より巧妙化したと指摘している。

”Human Security”がWIREDに独占提供したという最新の研究結果によると、少なくとも100万台のAndroidベースSetTopBoxやタブレット端末、プロジェクター、カーナビ、カーオーディオがマルウェアに感染し、詐欺師が操作するボットネットの一部として機能しているという。

感染デバイスは何をしているのか

BADBOXに感染したデバイスは何をしているのかについても言及されている。

さまざまな広告詐欺やレジデンシャルプロキシサービスに利用されており、恐ろしいのは攻撃者が被害者のインターネット環境を中継し、発信元を隠せる点にある。

これらデバイスの所有者は全ての活動を認識することはなく、密かに裏側で実行されているという。

つまり規模の大小を問わずサイバー攻撃をしたのは末端の消費者（のデバイスとネットアカウント等）となる。

警察が自宅に来た理由がわからない場合は、格安のセットトップボックスやカーオーディオといったAndroidデバイスが原因かもしれない。

Android感染のルーツ

”Human Security”は（当時の）感染デバイスの大半が南米（特にブラジル）へ集中していると言及。これらは有名メーカーが製造したデバイスではなく、「TV98」や「X86」といった汎用的な名称を使用したデバイス群がBADBOX2.0のメインターゲットとなっていると伝えた。

こういったデバイスはほぼ全てといって良いレベルでオープンソース版Androidをベースに設計されているという。

オープンソース版はGoogleの公式な保護デバイスのエコシステムに含まれていないため、そこが狙われているようだ。

これらの問題に対してGoogle社は広告詐欺の部分に対処するため”Human Security”と協力、まず詐欺グループのパブリッシャーアカウントを停止した。これによりGoogleの広告エコシステムを通じて利益を生み出すことを阻止したとのこと。

すでに始まっている新しい手口について

一連の「BADBOX」は攻撃者たちがセットトップボックス（ストリーミングボックス）に対して消費者が手にする前にファームウェアへバックドアを仕込む（インストール）するといった手口だ。

しかし、”Human Security”によるとBADBOX2.0から戦術が大きく変化したという。

従来のファームウェア感染だけに依存するのではなく、消費者が気付かぬうちにマルウェアをダウンロードさせる手口「ドライブバイ・ダウンロード」などが用いられていると続ける。

具体的な事例も挙げられていた。

攻撃者たちはシンプルで一見無害なゲームをGoogle Playストアで公開して、そのアプリが審査を通過したように見せて広告詐欺を行う。次にGoogle Playストア外（いわゆる野良アプリ）でほぼ同一のアプリを設置して、消費者にダウンロードさせてマルウェアを拡散するという方法だ。

これは「邪悪な双子（evil twin）」と呼ばれている。

このBADBOX2.0についてトレンドマイクロのシニア脅威研究者は「規模の大きい作戦」と指摘する。

今回のキャンペーンに関与する多くのグループが中国のグレー市場や広告・マーケティング企業と関係を持っており、10年以上前に行われたデバイスへ密かにプラグインを仕込み、不正行為に利用していた企業たちの生き残りとしている。

現在BADBOX2.0関与グループとつながりを持っているのは中国の複数の企業であることが確認されていると続ける。

調査チームは問題の企業が置かれている所在地、オフィスの写真、LinkedIn上の従業員アカウントなどを特定済みともしている。

しかし、初代BADBOXが対策されるとBADBOX2.0が生まれ、それ以降も形を変えつつ進化していることから活動自体が完全に終わる可能性は低いとみられている。

安すぎるデバイスは隠れた仕掛けがあるかもしれない。

【最近のセキュリティ記事】
・Chuwi CoreBook XでCPU偽装が発覚、Officeもコピー品か（MAK認証とは）
・中華パッド 13,700台以上でバッグドア「Keenadu」見つかる、工場出荷時点で感染とも