表面上看,百思买和沃尔玛等零售商出售的Superbox媒体流设备似乎非常划算:只需一次性支付约400美元,即可无限访问超过2200个付费点播和流媒体服务,例如Netflix 、 ESPN和Hulu 。但安全专家警告说,这些电视盒子需要安装侵入性软件,强制用户的网络为他人转发互联网流量,而这些流量通常与网络犯罪活动有关,例如广告欺诈和账户盗用。
Superbox媒体流播放器在Walmart.com有售。
Superbox 自称是一种经济实惠的方式,让家庭用户能够以一次性支付近 400 美元的价格,观看他们可能想要的所有电视和电影内容,而无需支付每月订阅费。
Superbox 网站在最近一篇题为“低收入人群的廉价有线电视:看电视,无需每月账单”的博客文章中问道:“厌倦了令人困惑的有线电视账单和隐藏费用吗?”
博客继续写道:“真正便宜的有线电视方案确实存在,尤其适合低收入人群。本指南详细介绍了避免支付过高费用的最佳替代方案,从免费的无线电视选项到一次性购买即可免除每月账单的设备,应有尽有。”
Superbox 声称观看电影、电视节目和体育赛事的直播不会违反美国版权法。
“SuperBox 和其他市面上的安卓电视盒一样,我们无法控制用户使用什么软件,”该公司网站上写道。“除非上传、下载或向大量用户广播内容,否则您不会遇到任何法律问题。”
来自 Superbox 网站的一篇博客文章。
Superbox本身的销售和使用并不违法,它只能用于在用户已付费订阅的服务商处串流内容。但这并非人们花费400美元购买这些机器的原因。想要通过Superbox免费观看2200多个频道,唯一的办法是安装几个专为该设备开发的应用程序,这些应用程序才能串流这些内容。
Superbox 的主页上醒目地标明,该公司“不出售或预装任何绕过付费墙或提供未经授权内容的应用程序”。该公司解释说,他们只提供硬件,而客户可以自行选择安装哪些应用程序。
“我们只销售硬件设备,”通知中写道。“客户必须使用官方应用程序和授权服务;未经授权的使用可能违反版权法。”
Superbox 的说法在技术上是正确的,除了关于用户必须使用官方应用程序和授权服务的部分可能存在偏差:在 Superbox 可以播放数千个频道之前,用户必须配置设备进行更新,而第一步是移除 Google 的官方 Play 商店,并将其替换为名为“App Store”或“Blue TV Store”的商店。
Superbox之所以会这样,是因为该设备未使用官方的谷歌认证Android TV系统,否则其应用将无法加载。只有在谷歌Play商店被这个非官方应用商店取代之后,专为Superbox开发的各种电影和视频流媒体应用才会出现并可供下载(同样,这些应用也位于谷歌应用生态系统之外)。
专家表示,虽然这些安卓流媒体盒子通常能实现其宣传的功能——让买家能够观看通常需要付费订阅的视频内容——但实现流媒体播放的应用程序也会将用户的互联网连接困在一个分布式住宅代理网络中,该网络利用这些设备转发来自其他设备的流量。
阿什利是Censys公司的高级解决方案工程师,该公司是一家网络情报公司,负责对联网设备、服务和主机进行索引。阿什利要求本文仅使用她的名字。
在最近的一次视频采访中,Ashley 展示了 Censys 在恶意软件实验室研究的几款 Superbox 型号——其中包括一款从百思买 (Best Buy) 现成购买的型号。
“我确信很多人都在想,‘嘿,如果大型连锁商店里都有卖,能有多糟糕呢?’”她说。“但我越深入了解,事情就越奇怪。”
Ashley表示,她发现Superbox设备立即连接到了中国即时通讯服务腾讯QQ的服务器,以及一个名为Grass IO的住宅代理服务。
被告密
Grass 也被称为 getgrass[.]io,它自称是一个“去中心化网络,允许用户通过与人工智能实验室和其他公司共享其未使用的互联网带宽来赚取奖励”。
Grass网站解释说:“买家寻求未使用的互联网带宽,以便访问更多不同的IP地址,从而从零售角度浏览某些网站。通过利用您未使用的互联网带宽,他们可以进行市场调研,或执行诸如网络爬虫之类的任务来训练人工智能。” 
Grass 创始人Andrej Radonjic通过 Twitter/X 联系到 KrebsOnSecurity,他表示自己从未听说过 Superbox,并且 Grass 与该设备制造商没有任何关联。
“这些盒子似乎在分发一个不道德的代理网络,有人利用这个网络试图滥用 Grass 服务,”Radonjic 说。“Grass 的理念是作为一个用户自愿加入的网络。用户下载 Grass 应用后,就可以将闲置带宽变现。市面上有很多来路不明的 SDK,它们会劫持用户的带宽来帮助网络爬虫公司。”
Radonjic 表示,Grass 已经实施了“一套强大的系统来识别网络滥用者”,如果发现有人试图滥用或规避其服务条款,公司会采取措施制止这种行为,并阻止这些用户获得积分或奖励。
Superbox的母公司Super Media Technology Company Ltd.登记的街道地址是加利福尼亚州喷泉谷的一家UPS商店。该公司未回复多次问询。
根据专门报道多层次营销(MLM)模式的博客behindmlm.com 的分析,Grass 的佣金计划基于“Grass 积分”,积分可通过个人使用 Grass 应用以及招募的下线使用该应用获得。下线使用 Grass 应用满 100 小时即可获得 5000 积分,但他们必须晋升到十个级别才能兑换积分(据推测是某种加密货币)。第十级,即“泰坦”级,要求下线累积高达 5000 万积分,或者至少招募 221 名下线。
Radonjic 表示 Grass 的系统在最近几个月发生了变化,并证实该公司有一个推荐计划,用户可以通过贡献自己的带宽和/或邀请其他用户参与来赚取 Grass Uptime Points。
Radonjic表示:“用户无需参与推荐计划即可赚取Grass Uptime积分或获得Grass代币。Grass正在逐步取消推荐计划,并推出了更新后的Grass积分模式。”
通过互联网档案馆(Wayback Machine)查阅getgrass[.]io网站的“条款与条件”页面可知,Grass的母公司在其成立两年期间至少更改了五次名称。在互联网档案馆搜索getgrass[.]io网站可知,2023年6月,Grass的所有者是一家名为Wynd Network的公司。到2024年3月,所有者变更为位于巴哈马的Lower Tribeca Corp .。到2024年8月,Grass由Half Space Labs Limited控制,而到2024年11月,该公司又归Grass OpCo (BVI) Ltd所有。目前,Grass网站显示其母公司仅为Grass OpCo Ltd (名称中不包含BVI)。
拉多尼奇承认,格拉斯基金会在过去几年经历了一些“公司内部的重组”,但他将这些重组描述为行政调整,对运营没有影响。“这些重组反映了项目从最初开发阶段过渡到格拉斯基金会目前架构过程中正常的早期重组,”他说道。
开箱
Censys公司的Ashley表示,她发现Superbox设备中第一个可疑之处在于,它们会向中国的腾讯QQ即时通讯服务发送“回传”请求。她还发现,这些流媒体盒子内置了强大的网络分析和远程访问工具,例如Tcpdump和Netcat 。
“这东西劫持了我的路由器DNS,进行了ARP欺骗,导致网络设备掉线,从而窃取了那个IP地址,还试图绕过控制,”她说。“我现在拥有所有这些设备的root权限,而且它们上面还有一个名为‘secondstage’的文件夹。这些设备上还安装了Netcat和Tcpdump,但它们本应是流媒体设备。”
快速的在线搜索显示,包括亚马逊、百思买、新蛋网和沃尔玛在内的众多顶级零售商均有销售各种型号的Superbox以及许多类似的安卓流媒体设备。例如,新蛋网目前就列出了超过36款Superbox型号。所有这些产品均由第三方商家在这些平台上销售,但很多情况下,发货是由电商平台本身完成的。
“新蛋网现在对这些设备的处理很糟糕,”阿什利说。“eBay最搞笑,因为他们有西班牙语版的Superbox——SuperCaja——非常受欢迎。”
Superbox 设备可通过 Newegg.com 购买。
阿什利表示,亚马逊最近打击了以 Superbox 为品牌的 Android 流媒体设备,但这些产品仍然可以在更通用的标题“ 调制解调器和路由器组合”下找到(这可能更接近该设备的真实行为)。
Superbox并没有采用传统方式宣传其产品。相反,它似乎更依赖于YouTube和TikTok等平台上一些不太知名的网红来推广产品。与此同时,Ashley表示,Superbox会向这些网红支付他们每售出一台设备价值的50%作为佣金。
“我觉得很奇怪,因为网红营销通常只把佣金分成限制在15%,这意味着他们并不在意钱,”她说。“这关乎的是建立他们的关系网。”
一位TikTok网红在与粉丝们一边品酒一边聊天时,不经意地提到并推广了Superbox。
坏盒子
尽管Superbox在电商平台上随处可见,但它只是众多不知名安卓电视盒品牌中的一个。这些设备虽然通常能为用户提供“免费”流媒体内容,但往往也预装了恶意软件,或者需要安装第三方应用程序,而这些应用程序会利用用户的互联网地址进行广告欺诈。
2025年7月,谷歌对25名身份不明的被告提起诉讼(PDF),指控他们组成名为“ BadBox 2.0 Enterprise ”的组织。谷歌称该组织是一个由超过一千万台安卓流媒体设备组成的僵尸网络,从事广告欺诈活动。谷歌表示,BadBox 2.0僵尸网络除了在用户购买前入侵多种类型的设备外,还能通过诱骗用户从非官方应用商店下载恶意应用来感染设备。
谷歌已将部分非官方安卓设备标记为 Badbox 2.0 僵尸网络的一部分,但这些设备仍在各大电商平台上广泛销售。图片来源:谷歌。
谷歌诉讼中提到的几款安卓流媒体设备仍在一些美国主流零售网站上销售。例如,搜索“ X88Pro 10 ”和“ T95 ”这两款安卓流媒体盒子,会发现亚马逊卖家仍在销售它们。
谷歌提起诉讼之前,联邦调查局(FBI) 于2025 年 6 月发布了一份咨询报告,警告称网络犯罪分子正在通过在用户购买产品之前配置恶意软件,或者在设备下载包含后门的必要应用程序时(通常是在设置过程中)感染设备,来未经授权访问家庭网络。
美国联邦调查局表示:“一旦这些被入侵的物联网设备连接到家庭网络,这些受感染的设备就很容易成为 BADBOX 2.0 僵尸网络和住宅代理服务的一部分,而这些服务已知被用于恶意活动。”
FBI表示,BADBOX 2.0是在2024年最初的BADBOX攻击活动被挫败后发现的。最初的BADBOX攻击活动于2023年被发现,主要涉及在购买前已被植入后门恶意软件的安卓操作系统设备。
Riley Kilmer是Spur的创始人,该公司专门追踪住宅代理网络。Kilmer表示,Badbox 2.0曾被用作IPidea的分发平台,IPidea是一家总部位于中国的公司,目前是全球最大的住宅代理网络。
Kilmer 等人表示,IPidea 只是911S5 Proxy的更名版本。911S5 Proxy 是一家总部位于中国的代理提供商, 去年因运营僵尸网络帮助犯罪分子从金融机构、信用卡发行机构和联邦贷款计划中窃取数十亿美元而受到美国财政部的制裁(美国司法部还逮捕了 911S5 的所谓所有者)。
IPidea 的大多数客户是如何使用代理服务的?根据代理检测服务Synthient 的数据,IPidea 代理的十大目标中有六个涉及与广告欺诈或撞库攻击(账户劫持尝试)相关的流量。
基尔默表示,像Grass这样的公司可能说得没错,他们的一些客户确实是利用网络爬虫来训练人工智能的公司,因为大量最终惠及人工智能公司的内容爬虫现在正利用这些代理网络来进一步掩盖其肆无忌惮的数据收集活动。基尔默说,通过将这些不受欢迎的流量路由到住宅IP地址,内容爬虫公司可以大大增加过滤难度。
“网络爬虫和数据抓取一直都存在,但人工智能让数据变成了一种商品,一种必须收集的数据,”基尔默告诉KrebsOnSecurity。“每个人都想将自己的数据变现,但他们变现的方式却千差万别。”
一些友好的建议
随着越来越多的热门电视节目和体育赛事转移到订阅流媒体服务,以及人们开始意识到他们在流媒体服务上的花费与以前支付给有线电视或卫星电视的金额一样多甚至更多,像 Superbox 这样的产品越来越受到消费者的关注。
这些来自不知名技术供应商的流媒体设备是“如果某样东西是免费的,那么你就是产品”这句格言的又一个例子,这意味着公司通过出售对其用户及其数据的访问权限和/或信息来赚钱。
Superbox 的用户可能会反驳说:“免费?我花了 400 美元买的!” 但请记住:即使你为某样东西花了很多钱,也不意味着你就不用再为它付出代价,或者说只有你一个人会因为这笔交易而蒙受损失。
或许很多Superbox用户并不在意有人利用他们的网络连接进行流量隧道传输,进行广告欺诈和账户盗用;对他们来说,这比每月支付多个流媒体服务的费用要划算得多。但我猜测,很多购买(或获赠)这些产品的人,在将它们连接到路由器时,并不真正了解自己究竟买到了什么。
Superbox 公司煞费苦心地运用语言技巧,声称其产品不违反版权法,并声称客户有责任自行了解并遵守当地相关法律。然而,消费者务必谨慎:如果您是美国居民,您应该知道,使用这些设备进行未经授权的流媒体播放违反了《数字千年版权法案》(DMCA),可能会导致法律诉讼、罚款,以及您的互联网服务提供商可能发出的警告和/或暂停服务。
根据美国联邦调查局的说法,有一些迹象表明你拥有的流媒体设备可能存在恶意软件,其中包括:
-存在可疑的应用下载平台。
-需要禁用 Google Play Protect 设置。
-宣传为已解锁或能够访问免费内容的通用电视流媒体设备。
-来自不知名品牌的物联网设备广告。
-未通过 Play Protect 认证的 Android 设备。
-无法解释或可疑的网络流量。
电子前沿基金会的这篇解释文章对上面列出的每一种潜在症状进行了更深入的探讨。
原文: https://krebsonsecurity.com/2025/11/is-your-android-tv-streaming-box-part-of-a-botnet/