Miles de canales sin suscripción — pagas con tus datos: el decodificador Superbox convierte tu hogar en un nodo proxy para estafadores
Los canales gratuitos de Superbox funcionan a costa de redirigir el tráfico a servicios sospechosos.
Superbox atrajo la atención de los compradores con la promesa de acceso a más de 2200 canales de televisión y servicios de streaming sin suscripción por un pago único de alrededor de 400 dólares, sin embargo, el estudio del dispositivo mostró que esa funcionalidad se consigue mediante aplicaciones impuestas, que convierten la red doméstica en un nodo proxy y abren la puerta a abusos. Los especialistas de Censys informaron que estas cajas comienzan a comunicarse con servidores externos tan pronto como se encienden, y que el software instalado en la práctica integra el dispositivo en una red distribuida que con frecuencia se usa en esquemas de tráfico publicitario y de obtención de credenciales.
El interés en Superbox se explica porque los compradores esperan obtener acceso a contenido de pago sin pagos regulares, aunque el propio fabricante en su sitio web subraya que vende solo el equipo. Las aplicaciones oficiales para Android TV no funcionan en las cajas, y para usar los canales anunciados el usuario debe desinstalar Google Play e instalar la tienda de terceros Blue TV Store. Tras eso se abre el acceso a numerosas aplicaciones que permiten ver contenido premium sin pagar, pero son ellas las que toman el control de las funciones de red del dispositivo y redirigen parte del tráfico a través de la red Grass IO.
Grass se presenta como una plataforma que distribuye el tráfico de internet de los usuarios para tareas de investigación de mercado y entrenamiento de IA. Su fundador señaló que la empresa no tiene relación con Superbox y que los dispositivos parecen intentar conectarse al servicio sin el conocimiento de Grass, usando SDKs sospechosos. Además, Grass en dos años cambió varias veces la entidad jurídica, lo que los participantes del mercado explican como etapas de reestructuración.
Según Censys, Superbox no se limita a la simple retransmisión de tráfico. En el dispositivo se encontraron herramientas como Netcat y Tcpdump, rastros de suplantación ARP, intentos de interceptación DNS y la carpeta secondstage. Los investigadores determinaron que la caja interactúa con el servidor QQ y con servicios que normalmente no se encuentran en reproductores multimedia domésticos. Estos dispositivos se venden en todas partes: en Amazon, Walmart, Newegg y eBay, a menudo bajo la apariencia de producto de vendedores terceros, y a veces bajo el nombre combinación de módem y router.
El esquema de Superbox encaja en un problema más amplio. Cajas Android "desbloqueadas" similares aparecen en el caso de Google contra el grupo Badbox 2.0, que trata de una botnet de más de 10 millones de dispositivos. El FBI advirtió que esas cajas pueden estar infectadas incluso antes de la compra o al instalar aplicaciones obligatorias, tras lo cual pasan a formar parte de redes proxy usadas para fraude publicitario y ataques contra cuentas. Los investigadores relacionan esto con IPidea, una red proxy que se considera heredera de 911S5 Proxy. Las principales rutas de tráfico de IPidea, según Synthient, incluyen plataformas donde se ha observado actividad relacionada con fraude y con intentos de adivinación de contraseñas.
Los especialistas señalan que la migración masiva del contenido televisivo al streaming impulsa la demanda de estos dispositivos, ya que los usuarios afrontan el aumento del coste de las suscripciones. Sin embargo, el comprador de un Superbox, habiendo pagado una suma significativa, de hecho cede parte del ancho de banda de internet a compañías externas que usan su dirección IP en diversos esquemas. A menudo los propietarios de esas cajas ni siquiera comprenden que su red se ha convertido en parte de una infraestructura proxy.
Los riesgos legales también siguen siendo significativos. El fabricante traslada la responsabilidad a los compradores, afirmando que la caja solo ofrece la posibilidad de instalar aplicaciones. Sin embargo, en EE. UU. la visualización no autorizada de contenido protegido infringe la DMCA y puede acarrear multas, advertencias por parte del proveedor de internet y restricciones de acceso.
El FBI recomienda prestar atención a una serie de señales que pueden indicar que un dispositivo es malicioso: la aparición de tiendas de aplicaciones de terceros, la exigencia de desactivar Google Play Protect, la ausencia del certificado Play Protect, una marca desconocida, picos de actividad de red o promesas publicitarias de acceso gratuito a servicios de pago. La Electronic Frontier Foundation en su sitio analiza detalladamente cada uno de estos puntos y explica por qué esos síntomas deben provocar cautela.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla