你的安卓电视流媒体盒子是僵尸网络的一部分吗？

表面上，在百思买和沃尔玛等零售商处销售的Superbox媒体流设备可能看起来很划算：它们提供对超过2200个按次付费和流媒体服务（如Netflix、ESPN和Hulu）的无限访问，一次性费用约为400美元。但安全专家警告，这些电视盒子需要安装侵入性软件，强制用户的网络为他人中继互联网流量，这些流量通常与广告欺诈和账户接管等网络犯罪活动有关。

沃尔玛网站上销售的Superbox媒体流盒子。 Superbox自诩为家庭提供了一种经济实惠的方式，可以流式传输他们可能想要的所有电视和电影内容，而无需每月支付订阅费的麻烦——只需一次性支付近400美元。

“厌倦了混乱的有线电视账单和隐藏费用？” Superbox的网站在最近一篇题为“低收入家庭的廉价有线电视：看电视，无需月费”的博客文章中问道。

博客继续说道：“真正为低收入家庭提供的廉价有线电视解决方案确实存在。”“本指南分解了最佳替代方案，以避免多付钱，从免费的无线电视选项到消除月费的一次性购买设备。”

Superbox声称，观看电影、电视节目和体育赛事流不会违反美国版权法。

“Superbox就像市场上任何其他Android电视盒一样，我们无法控制客户将使用什么软件，”公司网站坚称。“除非上传、下载内容或向大型群体广播内容，否则您不会遇到法律问题。”

一篇来自Superbox网站的博客文章。

Superbox本身的销售或使用并不违法，它可以严格用作在用户已有付费订阅的提供商处流式传输内容的方式。但这并不是人们花400美元购买这些机器的原因。使用Superbox免费观看那2200多个频道的唯一方法是安装几个为该设备制作的应用程序，使其能够流式传输这些内容。

Superbox的主页包含一条醒目的信息，声明公司“不出售访问或预装任何绕过付费墙或提供对未经授权内容访问的应用程序。”公司解释说，他们只提供硬件，而客户选择安装哪些应用程序。

“我们只销售硬件设备，”声明称。“客户必须使用官方应用程序和许可服务；未经授权的使用可能违反版权法。”

从技术上讲，Superbox在这里是正确的，除了关于客户必须使用官方应用程序和许可服务的部分：在Superbox可以流式传输那数千个频道之前，用户必须配置设备以自行更新，第一步涉及移除Google的官方Play商店，并用名为“App Store”或“Blue TV Store”的东西替换。

Superbox这样做是因为该设备不使用官方Google认证的Android TV系统，否则其应用程序将无法加载。只有在Google Play商店被这个非官方的App Store取代后，专门为Superbox构建的各种电影和视频流应用程序才会显示可供下载（同样，在Google的应用生态系统之外）。

专家表示，虽然这些Android流媒体盒子通常确实能做到它们所宣传的——使买家能够流式传输通常需要付费订阅的视频内容——但实现流式传输的应用程序也将用户的互联网连接卷入了一个分布式住宅代理网络，该网络使用这些设备来中继他人的流量。

Ashley是网络情报公司Censys的高级解决方案工程师，该公司索引互联网连接的设备、服务和主机。Ashley要求在本故事中仅使用她的名字。

在最近的一次视频采访中，Ashley展示了Censys在恶意软件实验室中研究的几款Superbox型号——包括一款从百思买货架上购买的。

“我肯定很多人都在想，‘嘿，如果它在大卖场有售，能有多糟糕？’”她说。“但我看得越多，事情就越奇怪。”

Ashley说她发现Superbox设备立即联系了中国即时通讯服务腾讯QQ的服务器，以及一个名为Grass IO的住宅代理服务。

被“种草”

也被称为getgrass[.]io，Grass自称是“一个去中心化网络，允许用户通过向AI实验室和其他公司共享未使用的互联网带宽来赚取奖励。”

“买家寻求未使用的互联网带宽以获取更多样化的IP地址范围，这使他们能够从零售角度查看某些网站，”Grass网站解释道。“通过利用您未使用的互联网带宽，他们可以进行市场研究，或执行网络抓取等任务来训练AI。”

通过Twitter/X联系，Grass创始人Andrej Radonjic告诉KrebsOnSecurity他从未听说过Superbox，并且Grass与该设备制造商没有关联。

“看起来这些盒子在分发一个不道德的代理网络，人们正试图利用Grass来牟利，”Radonjic说。“Grass的核心在于它是一个选择加入的网络。你下载grass应用程序来将未使用的带宽货币化。市面上有很多可疑的SDK，它们劫持人们的带宽来帮助网络抓取公司。”

Radonjic表示，Grass已经实施了一个“强大的系统来识别网络滥用者”，如果发现任何人试图滥用或规避其服务条款，公司将采取措施予以制止，并阻止这些用户赚取积分或奖励。

Superbox的母公司Super Media Technology Company Ltd.将其街道地址列为加利福尼亚州喷泉谷的一家UPS商店。该公司没有回应多次询问。

根据专注于多层次营销（MLM）计划的博客behindmlm.com的分析，Grass的补偿计划围绕“grass points”构建，这些积分通过使用Grass应用程序以及通过招募的关联公司使用应用程序获得。关联公司可以通过Grass应用程序使用100小时赚取5000点grass points，但他们必须通过十个关联层级或等级才能兑换grass points（大概是为了某种类型的加密货币）。第10级或“泰坦”级别要求关联公司累计高达5000万点grass points，或招募至少221名更多关联公司。

Radonjic表示，Grass的系统在最近几个月发生了变化，并确认公司有一个推荐计划，用户可以通过贡献自己的带宽和/或邀请其他用户参与来赚取Grass正常运行时间积分。

“用户不必参与推荐计划即可赚取Grass正常运行时间积分或接收Grass代币，”Radonjic说。“Grass正在逐步淘汰推荐计划，并引入了更新的Grass积分模型。”

在Wayback Machine上查看getgrass[.]io的条款和条件页面显示，Grass的母公司在两年多的时间里至少更改了五次名称。在Wayback Machine上搜索getgrass[.]io显示，在2023年6月，Grass由一家名为Wynd Network的公司所有。到2024年3月，所有者被列为巴哈马的Lower Tribeca Corp。到2024年8月，Grass由Half Space Labs Limited控制，而在2024年11月，该公司由Grass OpCo (BVI) Ltd.所有。目前，Grass网站称其母公司仅为Grass OpCo Ltd（名称中没有BVI）。

Radonjic承认，Grass在过去几年里经历了“几次公司清理”，但将其描述为对运营没有影响的管理变更。“这反映了项目从初始开发……转向当前Grass基金会结构下的正常早期阶段重组，”他说。

开箱

Censys的Ashley表示，对中国腾讯QQ即时通讯服务的“回连”是她检查的Superbox设备的第一个危险信号。她还发现流媒体盒子包含了强大的网络分析和远程访问工具，例如Tcpdump和Netcat。

“这个东西DNS劫持了我的路由器，进行ARP欺骗以至于设备从网络掉线，以便它可以占用那个IP，并试图绕过控制，”她说。“我现在拥有所有设备的root权限，它们实际上有一个名为‘secondstage’的文件夹。这些设备上还有Netcat和Tcpdump，而它们应该是流媒体设备。”

快速在线搜索显示，各种Superbox型号和许多类似的Android流媒体设备在包括亚马逊、百思买、新蛋和沃尔玛在内的广泛顶级零售目的地有售。例如，Newegg.com目前列出了超过三十多种Superbox型号。在所有情况下，这些产品都是由这些平台上的第三方商家销售的，但在许多情况下，履约是由电子商务平台本身完成的。

“新蛋现在在这些设备上表现很差，”Ashley说。“Ebay是最有趣的，因为他们有西班牙语的Superbox——SuperCaja——非常受欢迎。”

通过Newegg.com销售的Superbox设备。 Ashley表示，亚马逊最近打击了以Superbox为品牌的Android流媒体设备，但这些商品列表仍然可以在更通用的标题“调制解调器和路由器组合”下找到（这可能更接近设备行为的真相）。

Superbox不以传统方式宣传其产品。相反，它似乎依赖YouTube和TikTok等平台上知名度较低的影响者来推广这些设备。与此同时，Ashley说，Superbox支付给那些影响者他们销售的每台设备价值的50%。

“这对我来说很奇怪，因为影响者营销通常将补偿上限设为15%，这意味着他们不在乎钱，”她说。“这是关于建立他们的网络。”

一位TikTok影响者一边喝着酒与粉丝聊天，一边随意提及并推广Superbox。

坏盒子

尽管Superbox在电子商务网站上很丰富，但它只是消费者可获得的众多无名安卓电视盒子中的一个品牌。虽然这些设备通常确实为买家提供“免费”流媒体内容，但它们也往往包含出厂安装的恶意软件，或者需要安装第三方应用程序，这些应用程序将用户的互联网地址卷入广告欺诈。

2025年7月，Google对25名身份不明的被告（被称为“BadBox 2.0 Enterprise”）提起了“John Doe”诉讼（PDF），Google将其描述为一个涉及广告欺诈的超过一千万台Android流媒体设备的僵尸网络。Google表示，BADBOX 2.0僵尸网络除了在购买前入侵多种类型的设备外，还可以通过要求从未经授权的应用商店下载恶意应用程序来感染设备。

Google标记为Badbox 2.0僵尸网络一部分的一些非官方Android设备仍在大型电子商务供应商处广泛销售。图片来源：Google。

Google诉讼中标记的几款Android流媒体设备仍在顶级美国零售网站上有售。例如，搜索“X88Pro 10”和“T95”Android流媒体盒子，可以发现两者继续被亚马逊卖家兜售。

Google的诉讼是在联邦调查局（FBI）2025年6月发布警告之后进行的，该警告称网络犯罪分子通过在用户购买前用恶意软件配置产品，或在设备下载包含后门的所需应用程序时（通常是在设置过程中）感染设备，从而获得对家庭网络的未经授权访问。

“一旦这些被入侵的物联网设备连接到家庭网络，受感染的设备就容易成为BADBOX 2.0僵尸网络的一部分，并可能被用于恶意活动的住宅代理服务所利用，”FBI说。

FBI表示，BADBOX 2.0是在2024年最初的BADBOX活动被破坏后发现的。最初的BADBOX于2023年被发现，主要由购买前被植入后门恶意软件的Android操作系统设备组成。

Riley Kilmer是追踪住宅代理网络的Spur公司的创始人。Kilmer表示，Badbox 2.0被用作IPidea的分发平台，IPidea是一家中国实体，现在是全球最大的住宅代理网络。

Kilmer和其他人表示，IPidea仅仅是911S5 Proxy的重新命名，后者是一家中国代理提供商，去年因运营一个帮助犯罪分子从金融机构、信用卡发行商和联邦贷款计划中窃取数十亿美元的僵尸网络而受到美国财政部的制裁（美国司法部也逮捕了911S5的所谓所有者）。

大多数IPidea客户如何使用该代理服务？根据代理检测服务Synthient的数据，IPidea代理的前十大目的地中有六个涉及与广告欺诈或凭据填充（账户接管尝试）相关的流量。

Kilmer表示，像Grass这样的公司声称他们的一些客户是执行网络抓取以训练人工智能的公司时，可能说的是实话，因为大量最终使AI公司受益的内容抓取现在正利用这些代理网络来进一步模糊其激进的数据收集活动。Kilmer说，通过将这些不受欢迎的流量路由到住宅IP地址，内容抓取公司可以使过滤变得更加困难。

“网络爬取和抓取一直存在，但人工智能使其像商品一样，成为必须收集的数据，”Kilmer告诉KrebsOnSecurity。“每个人都想将自己的数据池货币化，而他们实现货币化的方式各不相同。”

一些友好建议

随着更多流行的网络电视节目和体育广播转向订阅流媒体服务，以及人们开始意识到他们在流媒体服务上的花费与之前支付的有线电视或卫星电视费用相当甚至更多，像Superbox这样的产品正引起消费者越来越多的兴趣。

这些来自无名技术供应商的流媒体设备是格言“如果某个东西是免费的，那么你就是产品”的又一个例子，这意味着公司通过销售对其用户及其数据的访问权和/或信息来赚钱。

Superbox所有者可能会反驳说，“免费？我为那个设备付了400美元！”但请记住：仅仅因为你为某物支付了很多钱，并不意味着你就不用再为其付出代价，或者你在交易中是唯一可能因此受损的人。

可能很多Superbox客户不在乎是否有人使用他们的互联网连接来传输广告欺诈和账户接管的流量；对他们来说，这比每月为多个流媒体服务付费要好。然而，我猜测，相当多购买（或获赠）这些产品的人在将其插入互联网路由器时，对他们所达成的交易知之甚少。

Superbox进行了一些严重的语言游戏，声称其产品不违反版权法，并且其客户独自负责理解并遵守当地相关法律。但是，买家要当心：如果您是美国居民，您应该知道使用这些设备进行未经授权的流式传输违反了《数字千年版权法案》（DMCA），可能会招致法律诉讼、罚款，以及您的互联网服务提供商可能发出的警告和/或暂停服务。

根据FBI的说法，有几个迹象可能表明您拥有的流媒体设备是恶意的，包括：

存在下载应用程序的可疑市场。
要求禁用Google Play Protect设置。
宣传为解锁或能够访问免费内容的通用电视流媒体设备。
来自无法识别品牌的物联网设备广告。
未经Play Protect认证的Android设备。
无法解释或可疑的互联网流量。

电子前沿基金会的这篇解释文章更深入地探讨了上述每个潜在症状。