Тысячи каналов без подписки - оплата трафиком. ТВ-приставка Superbox превращает ваш дом в прокси-узел для мошенников

leer en español

Superbox Censys Grass IO Badbox Google ФБР
Тысячи каналов без подписки - оплата трафиком. ТВ-приставка Superbox превращает ваш дом в прокси-узел для мошенников
Superbox Censys Grass IO Badbox Google ФБР

Бесплатные каналы на Superbox работают ценой передачи трафика через сомнительные сервисы.

image

Superbox привлёк внимание покупателей обещаниями доступа к более чем 2200 телеканалам и стриминговым сервисам без подписки за разовый платёж около 400 долларов, однако изучение устройства показало, что такой функционал достигается за счёт навязанных приложений, превращающих домашнюю сеть в узел прокси и открывающих путь к злоупотреблениям. Специалисты Censys рассказали, что эти приставки начинают общаться с внешними серверами сразу после включения, а установленный софт фактически встраивает устройство в распределённую сеть, которую нередко используют в схемах с рекламным трафиком и подбором учётных данных.

Повышенный интерес к Superbox объясняется тем, что покупатели надеются получить доступ к платному контенту без регулярных платежей, хотя сам производитель на сайте подчёркивает, что продаёт только оборудование. Официальные приложения под Android TV на приставках не работают, и для использования заявленных каналов пользователю приходится удалять Google Play и устанавливать сторонний магазин Blue TV Store. После этого открывается доступ к множеству приложений, позволяющих смотреть премиальный контент без оплаты, но именно они берут под контроль сетевые функции приставки и перенаправляют часть трафика через сеть Grass IO.

Grass позиционирует себя как платформу, которая распределяет интернет-трафик пользователей для задач исследования рынка и обучения ИИ. Её основатель отметил, что компания к Superbox не имеет отношения и что устройства, похоже, пытаются подключаться к сервису без ведома Grass, используя сомнительные SDK. При этом сама Grass за 2 года несколько раз меняла юридическое лицо, что участники рынка объясняют этапами реструктуризации.

По наблюдениям Censys, Superbox не ограничивается передачей трафика. В устройстве обнаружены инструменты вроде Netcat и Tcpdump, следы ARP-подмены, попытки перехвата DNS и папка secondstage. Исследователи установили, что приставка взаимодействует с сервером QQ и сервисами, которые обычно не встречаются в бытовых медиаплеерах. Продаются такие устройства повсеместно: на Amazon, Walmart, Newegg и eBay, часто под видом продукции сторонних продавцов, а иногда под названием modem and router combo.

Схема Superbox вписывается в более широкую проблему. Похожие «разблокированные» Android-приставки фигурируют в деле Google против группы Badbox 2.0, где речь идёт о ботнете из более чем 10 млн устройств. ФБР предупреждало, что такие приставки могут быть заражены ещё до покупки или при установке обязательных приложений, после чего становятся участниками сетей прокси, используемых для рекламного мошенничества и атак на учётные записи. Исследователи связывают это с IPidea, прокси-сетью, которую считают наследником 911S5 Proxy. Основные направления трафика IPidea, по данным Synthient, включают площадки, на которых замечена активность, связанная с мошенничеством и подбором паролей.

Специалисты отмечают, что массовый переход телеконтента в стриминг стимулирует спрос на такие устройства, поскольку пользователи сталкиваются с ростом стоимости подписок. Однако покупатель Superbox, заплативший значительную сумму, всё равно фактически отдаёт часть интернет-канала внешним компаниям, которые используют его IP-адрес в различных схемах. Нередко владельцы подобных приставок даже не понимают, что их сеть стала частью прокси-инфраструктуры.

Юридические риски также остаются значительными. Производитель перекладывает ответственность на покупателей, утверждая, что приставка лишь предоставляет возможность устанавливать приложения. Однако в США несанкционированный просмотр защищённого контента нарушает DMCA и может повлечь штрафы, предупреждения от интернет-провайдера и ограничения доступа.

ФБР советует обращать внимание на ряд признаков, которые могут указывать на вредоносность устройства: появление сторонних магазинов приложений, требование отключить Google Play Protect, отсутствие сертификата Play Protect, неизвестный бренд, всплески сетевой активности или рекламные обещания доступа к платным сервисам бесплатно. Electronic Frontier Foundation на своём сайте подробно разбирает каждый из этих пунктов и объясняет, почему подобные симптомы должны вызывать настороженность.