Contexte: KrebsOnSecurity publie une enquête sur des boîtiers Android TV (Superbox et modèles similaires) vendus sur de grandes places de marché et susceptibles d’intégrer des composants qui transforment les réseaux des utilisateurs en proxys résidentiels exploités pour des activités illicites.

• Les boîtiers Superbox sont commercialisés ~400 $ avec la promesse d’accéder à plus de 2 200 services, mais requièrent le remplacement du Google Play Store par un « App Store/Blue TV Store » non officiel. Des experts indiquent que ces appareils relaient du trafic tiers via un réseau proxy résidentiel (ex. Grass/getgrass[.]io), malgré l’affirmation du fabricant qu’il ne fournit que le matériel et n’installe pas d’apps contournant les paywalls.

• En laboratoire, une ingénieure de Censys a observé des comportements suspects: contacts vers Tencent QQ, présence d’outils Netcat et Tcpdump, un dossier « secondstage », ainsi que détournement DNS et empoisonnement ARP pour s’approprier des IP du LAN. Ces boîtiers, bien que destinés au streaming, semblent équipés d’outils et de capacités réseau avancées. Ils sont vendus par des tiers sur Amazon, BestBuy, Newegg, Walmart, eBay (y compris sous « SuperCaja »), avec un marketing d’influence rémunéré jusqu’à 50% par vente.

• L’article replace ces constats dans le contexte plus large du botnet BADBOX 2.0: Google a déposé plainte contre des défendeurs anonymes, évoquant >10 M d’appareils Android détournés pour la fraude publicitaire. Le FBI a alerté sur des appareils compromis en usine ou via des marketplaces non officielles lors de la configuration. Des modèles comme X88Pro 10 et T95 sont encore en vente. BADBOX 2.0 a servi de vecteur pour IPidea, considéré comme le plus grand réseau de proxy résidentiel et relié à l’ex-911S5 Proxy (sanctionné et démantelé), dont le trafic est fréquemment lié à la fraude pub et au credential stuffing.

• Côté Grass, son fondateur dit n’avoir aucun lien avec Superbox et affirme que Grass est un réseau opt-in (avec détection des abus et blocage des gains). Le site et la structure de l’entreprise ont changé plusieurs fois de nom, et le programme de parrainage/points a évolué. Par ailleurs, l’article rappelle qu’aux États-Unis l’utilisation non autorisée de contenus via ces appareils peut violer le DMCA.

• Le FBI liste des signes d’alerte pour identifier un appareil potentiellement malveillant: marketplaces d’apps suspectes, désactivation de Google Play Protect, appareils « déverrouillés » promettant du contenu gratuit, marques inconnues, absence de certification Play Protect, et trafic réseau anormal.

IOCs observables (extraits de l’article):

  • Domaine/Service: getgrass[.]io (Grass)
  • Services/plateformes contactés: Tencent QQ (messagerie)
  • App store non officiel: « App Store » / « Blue TV Store »
  • Modèles cités: X88Pro 10, T95; marques: Superbox (« SuperCaja » en espagnol)
  • Entités réseau/proxy: IPidea, 911S5 Proxy

TTPs / Techniques:

  • Remplacement du Google Play Store par un store non officiel
  • Détournement DNS du routeur domestique
  • Empoisonnement ARP pour usurper des IP locales
  • Présence d’outils Netcat et Tcpdump préinstallés
  • Architecture en proxy résidentiel (relayage de trafic tiers)
  • Distribution via marketplaces non officielles et apps tierces
  • Indice de persistance/étapes: dossier « secondstage »

Il s’agit d’une analyse de menace et d’une enquête journalistique visant à documenter l’enrôlement de boîtiers Android TV dans des réseaux proxy/botnets et à contextualiser ces pratiques dans l’écosystème BADBOX 2.0.

🧠 TTPs et IOCs détectés

TTP

[‘Remplacement du Google Play Store par un store non officiel’, ‘Détournement DNS du routeur domestique’, ‘Empoisonnement ARP pour usurper des IP locales’, ‘Présence d’outils Netcat et Tcpdump préinstallés’, ‘Architecture en proxy résidentiel (relayage de trafic tiers)’, ‘Distribution via marketplaces non officielles et apps tierces’, “Indice de persistance/étapes: dossier ‘secondstage’”]

IOC

[‘Domaine/Service: getgrass[.]io’, ‘Services/plateformes contactés: Tencent QQ’, “App store non officiel: ‘App Store’ / ‘Blue TV Store’”, ‘Modèles cités: X88Pro 10, T95’, “Marques: Superbox (‘SuperCaja’ en espagnol)”, ‘Entités réseau/proxy: IPidea, 911S5 Proxy’]

🔗 Source originale : https://krebsonsecurity.com/2025/11/is-your-android-tv-streaming-box-part-of-a-botnet/