35 美元的投影仪:揭露厂商支持的恶意软件流水线
35 美元的投影仪:揭露厂商支持的恶意软件流水线
一款承诺支持 4K 和 8000 流明的 35 美元投影仪极具诱惑力,但正如一位安全研究人员发现的那样,真正的成本往往隐藏在固件中。从 Pi-hole 日志中一个可疑的 DNS 查询开始,最终演变成了一场复杂的、由厂商支持的操作,将消费电子产品转变为全球住宅代理网络的一部分。
这项调查突出了 IoT 供应链中一个令人胆寒的趋势:从简单的广告软件向在工厂层面就植入设备的完整规模远程访问木马 (RAT) 的转变。
第一个红旗信号
将 Magcubic HY300 Pro+ 投影仪连接到 Wi-Fi 后,该设备立即开始向几个可疑域名进行“回传”,包括 o.fecebbbk.xyz 和 usmyip.kkoip.com,尽管当时并未打开任何应用或启动浏览器。
使用 adb 和 jadx 进行的初步调查显示,一系列预装包使用了 com.htc. 命名空间——这是对 Hotack 制造的设备的明显伪装。在对设备进行 Root 权限获取并禁用五个可疑包(包括 com.hotack.silentsdk 和 com.htc.eventuploadservice)后,恶意 DNS 流量停止了,这证实了这些应用就是罪魁祸首。
使用 Claude Code 加速分析
对混淆的 Android APK 进行逆向工程通常是一个极其艰苦的过程,需要手动追踪反射链并解密字符串。为了加速这一过程,研究人员采用了 Claude Code,一个能够与 CLI 交互并编写代码的 AI 智能体。
通过为智能体提供反编译的源码并下达明确的任务,AI 自主执行了几个关键任务:
- 自动化解密:恶意软件使用了旋转 XOR 密码来隐藏 URL 和 Shell 命令。Claude Code 识别了该模式并编写了一个 Python 脚本来自动解密代码库中的每一个调用。
- 协议重建:智能体追踪了 C2 (Command and Control) 通信逻辑,识别出一种自定义的二进制消息格式,该格式由版本字段、AES-128-CBC 密文、随机 IV 和以明文形式附加的加密密钥组成。
- 主动 C2 交互:出人意料的是,AI 编写了一个功能完备的 Python 客户端来与实时的 C2 服务器 (
api.pixelpioneerss.com) 进行通信。这揭示了服务器正在实时追踪研究人员的 IP 地址和地理位置,并提供下一阶段的载荷 (payloads)。
恶意软件生态系统:三阶段攻击
调查揭示了一套旨在实现持久化和模块化的协调恶意软件套件:
阶段 1:投放器 (com.hotack.silentsdk)
该应用以 android.uid.system 权限运行,这意味着它使用了厂商的平台证书进行签名。它通过注册一个高优先级的启动接收器 (boot receiver) 并作为 systemExempted 前台服务运行,确保了启动持久化,使其在操作系统层面几乎无法被杀死。
阶段 2:框架 (magic.v6037)
一旦投放器联系了 C2,它就会下载一个包含 DEX 文件的 JAR 包。该载荷通过反射机制动态加载,以规避静态分析。该框架充当组件管理器,每 15-30 分钟向第二个 C2 (bur.thedynamicleap.com) 进行一次签到。
阶段 3:插件
该框架可以根据需求下载并执行额外的模块化插件,从而允许攻击者根据目标环境调整其能力。
商业模式:出售你的网络
最令人震惊的发现是与 kkoip.com 的联系,它是 Kookeey 的前台,一家商业住宅代理提供商。Kookeey 向全球客户销售数百万个住宅 IP 的访问权限。
正如研究人员所言:
"我的 35 美元投影仪不仅仅是在监视我。它在出售我的网络。任何向 Kookeey 支付代理访问权限的人都可以通过我的 IP 路由其流量,从而使他们的请求看起来像是来自斯坦福大学的宿舍房间。"
这代表了一种掠夺性的商业模式:以接近成本的价格销售硬件,然后通过将用户的家庭网络征召入商业代理服务来变现现。作为一名社区成员指出,这甚至比简单的带宽出售更危险,因为这会创建一个“通用二进制交付系统”,可能被用于在本地网络内部署进一步的攻击。
固件层面的持久化
该恶意软件并非简单的应用安装;它被集成到了系统镜像中。对固件的固件分析显示:
- 防御中和:一个脚本 (
/system/bin/appsdisable) 在首次启动时运行,以禁用 Google Play Protect 和其他 Google Android 启动接收器。 - 沉默安装:一个
/system/bin/preinstall脚本会从多个目录中静吧地安装 APKs。 - 自定义内核:内核是由 Hotack 在企业级硬件 (Dell PowerEdge R740) 上自定义编译的,这证明了这是一场有组织的工业化操作,而非业余爱好者的项目。
结论与缓解措施
此案例为“廉价 IoT”供应链提供了一个警示。当一个设备的售价远低于市场价值时,用户往往就是产品。
对于拥有类似设备的用户的建议操作是:
隔离设备:将其置于一个独立的 VLAN,不提供互联网访问或严格限制出站流量。
禁用恶意包:使用 ADB 禁用
com.hotack.silentsdk和com.htc.系列包。避免工厂重置:由于恶意软件被集成在固件中,工厂重置只会重新安装恶意组件。
作为通过 AI 智能体使逆向工程工具变得越来越容易获取, “安全通过模糊性实现” (security by obscurity) 的面纱正在变薄。然而,这些设备的出货量——在 Amazon, Temu, 和 AliExpress 上销售的数百万个单位——暗示着一个庞生、庞大的、不可见的代理网络已经成型。