Телевизор «уснул» и не просыпается? Возможно, его просто захватил новый вирус
Купили дешевую приставку — получили хакера в придачу.
Обычная ТВ-приставка может превратиться в шпиона внутри домашней сети и даже «усыплять» телевизор по команде злоумышленника. Специалисты из Nokia Deepfield описали новый ботнет CECbot, который заражает устройства на базе Android TV и заметно отличается от привычных вредоносных программ такого типа.
CECbot появился в марте 2026 года и стал развитием более раннего ботнета Katana. Оба проекта используют одну и ту же инфраструктуру и нацелены на те же устройства, но новый вариант полностью переписали с нуля. Вместо простого кода с примитивным шифрованием злоумышленники внедрили полноценное Android-приложение с современной криптографией, сопоставимой с той, что применяют защищённые мессенджеры.
Вредоносная программа распространяется через уязвимости в Android Debug Bridge, открытом на многих недорогих ТВ-приставках. Производители таких устройств часто устанавливают сомнительные компоненты для проксирования трафика, через которые злоумышленники получают доступ к сети пользователя. После заражения CECbot не пытается сам распространяться дальше, но начинает активно изучать локальную сеть.
Главная особенность CECbot связана с технологией HDMI-CEC. Через неё устройства по HDMI могут управлять друг другом – например, включать телевизор или менять громкость. Вредоносная программа научилась отправлять такие команды. Оператор может перевести телевизор в спящий режим, переключать входы или даже выводить текст на экран. По сути, заражённая приставка получает полный контроль над HDMI-цепочкой.
Параллельно CECbot сканирует домашнюю сеть. Программа проверяет все устройства в подсети, собирает их адреса, определяет доступные службы и отправляет данные на сервер управления. Заражённая приставка превращается в точку наблюдения, через которую можно изучить всю сеть – от компьютеров до умных устройств.
При этом пользователь может долго ничего не заметить. Вредоносная программа подменяет интерфейс приставки на пустой экран и блокирует управление. Чтобы скрыть проблему, злоумышленник может просто «выключить» телевизор через HDMI. Со стороны всё выглядит как обычный сбой или выключение.
CECbot также умеет устраивать мощные сетевые атаки и использовать заражённые устройства как резидентных прокси-серверы. Через них можно направлять трафик, маскируя реальное местоположение. Архитектура напоминает коммерческие сервисы резидентных прокси, только построена на взломанных устройствах.
Разработчики добавили девять механизмов закрепления в системе. Программа перезапускается через системные службы, следит за своим состоянием и даже блокирует попытки удаления. На некоторых устройствах она отключает обновления прошивки, из-за чего приставка больше не получает исправления безопасности.
Отдельно обращает на себя внимание работа с Android. В отличие от старых ботнетов, которые запускались как обычные программы для Linux, CECbot использует возможности самой системы: планировщик задач, фоновые службы и настройки энергосбережения. Такой подход делает вредоносную программу более устойчивой.
По оценке специалистов, подобные устройства давно вышли за пределы домашних условий. Их устанавливают в офисах, гостиницах и даже медицинских учреждениях. В квартире сканирование сети выглядит неприятно, но ограниченно. В корпоративной или больничной сети такие возможности уже представляют куда более серьёзную угрозу.
CECbot показывает, как быстро развивается вредоносное ПО для «умных» устройств. Каждое новое поколение становится сложнее, незаметнее и функциональнее. В данном случае телевизионная приставка перестаёт быть просто медиаплеером и превращается в полноценный инструмент слежки и атак.