De nombreux boîtiers Android vendus en ligne pour regarder le football gratuitement intègrent un virus préinstallé. Sans le savoir, des millions d’utilisateurs participent à un réseau de cyberattaques mondial.
Des lecteurs IPTV modifiés avant la vente
Des décodeurs Android bon marché, proposés sur Amazon, AliExpress, Temu ou via des vendeurs tiers, sont souvent livrés avec des applications IPTV déjà installées. Ces appareils séduisent pour leur promesse d’accès gratuit à des contenus payants comme les matchs de football.
Derrière cette accessibilité se cache une opération sophistiquée. Une enquête menée par Human Security a révélé en mars dernier que de nombreux modèles contiennent un malware préinstallé, utilisé pour former un réseau de machines contrôlées à distance, appelé botnet.
BadBox 2.0 : un malware à grande échelle, discret mais redoutable
Le virus en question, BadBox 2.0, succède à une première version démantelée par la police allemande en 2023, qui contrôlait plus de 74 000 appareils. Cette nouvelle vague aurait déjà infecté plus de 10 millions d’appareils Android à travers le monde.
Le procédé est bien rodé : les cybercriminels achètent en gros des boîtiers Android, y injectent le malware, puis les revendent via les plateformes classiques. Une fois branché, l’appareil devient un point d’accès dans un réseau privé exploité à distance.
Des fonctions détournées pour servir des intérêts criminels
Les appareils infectés sont utilisés à l’insu de l’utilisateur pour :
- vendre un accès anonyme à d’autres pirates informatiques,
- lancer des attaques DDoS à grande échelle,
- diffuser de la publicité frauduleuse générant des revenus illicites,
- afficher des applications connues modifiées pour y ajouter des publicités,
- ouvrir des fenêtres invisibles en arrière-plan afin de créer de fausses vues publicitaires.
Certains appareils comportent même des versions factices d’applications populaires, uniquement conçues pour afficher de la publicité en continu.
Modèles ciblés : liste des décodeurs concernés
Les modèles ci-dessous sont ceux qu’utilisent les cybercriminels. Ils partagent les caractéristiques techniques permettant l’installation et le bon fonctionnement de BadBox 2.0, mais cela ne signifie pas que chaque appareil vendu sous ces noms est automatiquement infecté.
| TV98 | X96Q-Max-P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512-1h10-Natv | X96-S400 |
| X96mini-RP | TX3mini | HY-001 | MX10PRO |
| X96mini-Plus1 | LongTV-GN7501E | Xtv77 | NETBOX-B68 |
| X96Q-PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE-PLUS | KM1 | X96Q-PRO | Projecteur-T6P |
| X96QPRO-TM | sp7731e-1h10.natif | M8SPROCHE | TV008 |
| X96Mini-5G | Q96MAX | Orbsmart-TR43 | 6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpésies | KM7 | Boîte de connexion iSinbox | I96 |
| SMART-TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | est inbox | Mbox | R11 |
| GameBox | KM6 | X96Max-Plus2 | TV007 |
| Q9 Bâton | DS7731E | H6 | X88 |
| X98K | TXC |
Des versions d’Android détournées pour installer des apps interdites
Ces boîtiers utilisent rarement Android TV officiel. Ils tournent sur des versions modifiées d’Android, conçues pour contourner les restrictions de sécurité du Play Store. Cette configuration permet d’installer librement des apps de streaming interdites ou de provenance douteuse.
Cette flexibilité, très recherchée par les pirates, facilite l’installation de BadBox 2.0 et sa propagation à grande vitesse.
Google contre-attaque mais peine à enrayer la menace
Les équipes de Human Security ont collaboré avec Google afin de désactiver les comptes publicitaires liés à BadBox 2.0 et de bloquer les applications concernées grâce à Play Protect.
Malgré ces mesures, des millions d’appareils restent toujours sous contrôle. Google a donc engagé des actions en justice contre les responsables du réseau, les accusant de fraude publicitaire massive. L’objectif est de démanteler entièrement l’infrastructure de BadBox 2.0.
Comment savoir si votre appareil est à risque ?
Pour limiter les risques, Google invite les utilisateurs à vérifier si leur appareil est bien certifié Play Protect :
- Ouvrez l’application Play Store
- Allez dans Paramètres > À propos
- Cherchez la mention « Appareil certifié »
Si votre appareil n’est pas certifié et a été acheté sur un site non officiel, mieux vaut rester vigilant. En cas de doute, réinitialisez l’appareil, évitez d’installer des fichiers APK manuellement et méfiez-vous des promesses d’accès gratuit à du contenu payant.
Source : Human Security via El Androide Libre
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
