警惕！你的Android电视盒可能已成僵尸网络一员

Is Your Android TV Streaming Box Part of a Botnet?

概述

在BestBuy和Walmart等零售商处销售的Superbox媒体流媒体设备，表面上看起来非常划算：只需一次性支付约400美元，即可无限访问超过2200个按次付费和流媒体服务，如Netflix、ESPN和Hulu。但安全专家警告，这些电视盒需要安装侵入性软件，迫使用户的网络为他人中继互联网流量，这些流量通常与广告欺诈和账户接管等网络犯罪活动有关。

Superbox的运作模式

Superbox自称是一种经济实惠的方式，让家庭可以流式传输他们可能想要的所有电视和电影内容，而无需处理月费订阅的麻烦——仅需一次性支付近400美元。

该公司在其网站上的一条博客中声称：“厌倦了混乱的有线电视账单和隐藏费用吗？”，并坚称观看电影、电视节目和体育赛事流不会违反美国版权法。 “SuperBox就像市场上任何其他Android电视盒一样，我们无法控制客户将使用什么软件，”公司网站声称。“除非向一大群人上传、下载或广播内容，否则你不会遇到法律问题。”

从技术上讲，Superbox本身或其使用并不违法，它可以严格用作在用户已拥有付费订阅的提供商处流式传输内容的方式。但这并不是人们花费400美元购买这些机器的原因。使用Superbox免费观看那2200多个频道的唯一方法是安装几个为该设备制作的应用程序，使它们能够流式传输这些内容。

技术内幕与安全风险

Superbox的主页包含一条突出信息，声明公司“不出售访问或预装任何绕过付费墙或提供对未经授权内容的访问的应用程序。” 公司解释说，他们只提供硬件，而客户选择安装哪些应用程序。

技术绕过：在Superbox可以流式传输数千个频道之前，用户必须将设备配置为自行更新，第一步涉及移除Google官方的Play商店，并用所谓的“App Store”或“Blue TV Store”取而代之。Superbox这样做是因为该设备不使用官方Google认证的Android TV系统，否则其应用程序将无法加载。只有在Google Play商店被这个非官方的App Store取代后，专为Superbox构建的各种电影和视频流媒体应用程序才可供下载（同样，在Google的应用程序生态系统之外）。

恶意代理网络：专家表示，虽然这些Android流媒体盒子通常确实做到了它们所宣传的那样——使买家能够流式传输通常需要付费订阅的视频内容——但实现流式传输的应用程序也将用户的互联网连接卷入了一个分布式住宅代理网络，该网络使用这些设备来中继他人的流量。

安全研究人员的发现

Censys（一家索引互联网连接设备、服务和主机的网络情报公司）的高级解决方案工程师Ashley（仅使用其名）展示了几款Censys在恶意软件实验室中研究的Superbox型号——包括一款在BestBuy现货购买的设备。

她发现Superbox设备立即联系了中国即时通讯服务腾讯QQ的服务器，以及一个名为Grass IO的住宅代理服务。

Grass IO：也称为getgrass[.]io，Grass声称是“一个去中心化网络，允许用户通过将未使用的互联网带宽共享给AI实验室和其他公司来赚取奖励。” 其创始人Andrej Radonjic表示，他从未听说过Superbox，并且Grass与该设备制造商没有任何关联。“看起来这些盒子正在分发一个不道德的代理网络，人们试图利用Grass来获利，”Radonjic说。“Grass的重点在于它是一个选择加入的网络。你下载Grass应用程序来货币化你未使用的带宽。市面上有大量可疑的SDK劫持人们的带宽来帮助网络抓取公司。”

设备行为分析：Ashley说，与中国腾讯QQ即时通讯服务的“回连”是她检查的Superbox设备的第一个危险信号。她还发现这些流媒体盒子包含了强大的网络分析和远程访问工具，如Tcpdump和Netcat。 “这个东西DNS劫持了我的路由器，进行了ARP欺骗，以至于设备从网络中掉线，以便它可以占用该IP，并试图绕过控制，”她说。“我现在拥有所有这些设备的root权限，它们实际上有一个名为‘secondstage’的文件夹。这些设备上还有Netcat和Tcpdump，然而它们本应是流媒体设备。”

更广泛的威胁生态：BADBOX 2.0僵尸网络

Superbox在电子商务网站上很普遍，但它只是消费者可用的众多无品牌Android电视盒中的一个品牌。虽然这些设备通常确实为买家提供“免费”的流媒体内容，但它们也往往包含出厂预装的恶意软件，或者需要安装第三方应用程序，这些应用程序会将用户的互联网地址卷入广告欺诈。

2025年7月，Google对25名身份不明的被告（被称为“BadBox 2.0 Enterprise”）提起了“John Doe”诉讼，Google将其描述为一个包含超过一千万台参与广告欺诈的Android流媒体设备的僵尸网络。Google表示，BADBOX 2.0僵尸网络除了在购买前危害多种类型的设备外，还可以通过要求从非官方市场下载恶意应用程序来感染设备。

Google诉讼中标记的几款Android流媒体设备仍在顶级美国零售网站上销售。例如，搜索“X88Pro 10”和“T95” Android流媒体盒子可以发现，两者仍在由亚马逊卖家销售。

FBI警告与代理网络滥用

Google的诉讼紧随联邦调查局（FBI）2025年6月的一份警告，该警告称网络犯罪分子通过在用户购买前用恶意软件配置产品，或者在设备下载包含后门的必需应用程序（通常在设置过程中）时感染设备，从而未经授权访问家庭网络。

“一旦这些被破坏的物联网设备连接到家庭网络，受感染的设备就容易成为BADBOX 2.0僵尸网络和已知用于恶意活动的住宅代理服务的一部分，”FBI表示。

追踪住宅代理网络的公司Spur的创始人Riley Kilmer表示，Badbox 2.0被用作IPidea的分发平台，IPidea是一家中国实体，现在是世界上最大的住宅代理网络。Kilmer和其他人表示，IPidea仅仅是911S5 Proxy的重新品牌，后者是一家中国的代理提供商，去年因运营一个帮助犯罪分子从金融机构、信用卡发行商和联邦贷款计划中窃取数十亿美元的僵尸网络而受到美国财政部的制裁。

对消费者的建议与风险识别

随着更多流行的网络电视节目和体育广播迁移到订阅流媒体服务，以及人们开始意识到他们在流媒体服务上的花费与以前支付的有线电视或卫星电视费用一样多甚至更多，像Superbox这样的产品正引起消费者越来越多的兴趣。

来自无名技术供应商的这些流媒体设备是“如果某个东西是免费的，那么你就是产品”这一格言的另一个例子，这意味着该公司通过出售对其用户及其数据的访问权和/或信息来赚钱。

对于美国居民来说，你应该知道，使用这些设备进行未经授权的流媒体传输违反了《数字千年版权法案》（DMCA），可能会导致法律诉讼、罚款，以及你的互联网服务提供商可能的警告和/或服务暂停。

根据FBI的说法，有几个迹象可能表明你拥有的流媒体设备是恶意的，包括：

存在下载应用程序的可疑市场。
要求禁用Google Play Protect设置。
宣传为解锁或能够访问免费内容的通用电视流媒体设备。
来自无法识别品牌的物联网设备广告。
未经Play Protect认证的Android设备。
无法解释或可疑的互联网流量。

电子前沿基金会的这篇解释文章更深入地探讨了上述每个潜在症状。