Ваша TV-приставка работает против вас?

Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium… Чтобы просто смотреть то, что хочется, средняя добросовестная семья сегодня оплачивает сразу 5–10 подписок, а их ежемесячная цена легко переваливает за $100. Неудивительно, что в соцсетях и на маркетплейсах растет спрос на появившиеся с конца 2025 года «волшебные коробочки» — ТВ-приставки под управлением Android, которые обещают разовой покупкой открыть доступ к тысячам каналов и всем стриминговым сервисам без подписки.

Реклама таких устройств появляется в TikTok и Instagram: улыбчивые блогеры распаковывают «супербоксы», подключают их к телевизору и демонстрируют бесконечную прокрутку каналов. Кажется, что это идеальный лайфхак против повсеместного засилья платных подписок? На самом деле, это один из самых доступных способов добровольно впустить в домашнюю сеть ботнет.

Рекламный ролик в TikTok, рассказывающий, как же это здорово, когда сыр бесплатный все подписки можно отменить

Что не так с этими приставками

Истории о вредоносных ТВ-приставках всплывали и раньше, однако сейчас их реклама приобрела воистину угрожающий масштаб.

В конце 2025 года аналитики изучили несколько моделей популярной приставки SuperBox, доступных в обычных розничных магазинах и на маркетплейсах. Результаты оказались тревожными: сразу после включения устройства начинали «стучаться» на серверы китайского мессенджера Tencent QQ и прокси-сервис Grass, фактически сдавая интернет-канал владельца в аренду посторонним лицам.

А внутри прошивки приставки обнаружились совершенно нехарактерные для медиаплеера приложения: сетевой сканер, анализатор трафика и инструменты для перехвата DNS. Таким образом, устройство не только показывает пиратский контент, но и ищет в локальной сети другие цели (включая промышленные SCADA-интерфейсы), и готово участвовать в DDoS-атаках. Обнаружились в «супербоксах» и папки с характерным названием «второй этап» (secondstage) — классический признак многоступенчатого вредоноса.

А совсем недавно, в апреле 2026 года, в подкасте Darknet Diaries вышло интервью с исследовательницей безопасности под псевдонимом D3ada55, которая рассказала много интересного про эти коробочки, — в том числе и то, что они все еще продаются в свободном доступе, например, на Amazon, в Walmart и Best Buy.

Хроника заражений: от BADBOX до Keenadu

Случай с SuperBox — далеко не единственный, когда Android-устройства становились узлами для ботнетов или продавались зараженными «из коробки». Вспомним самые свежие:

• BADBOX 2.0. В июле 2025 года Google подала иск против операторов ботнета, объединившего более 10 миллионов Android-устройств, — преимущественно дешевых ТВ-боксов, планшетов и проекторов без сертификации Google Play Protect. Как мы уже писали ранее, BADBOX 2.0 специализируется именно на ТВ-боксах и работает одновременно как прокси-сеть и движок для рекламного мошенничества.
• Kimwolf. В декабре 2025 года команда QiAnXin XLab раскрыла DDoS-ботнет, захвативший около 1,8 миллиона Android-устройств. Среди зараженных — модели неизвестных производителей с громкими названиями TV BOX, SuperBох, XBOX, SmartTV и другие. География заражений обширная, зараженные устройства поставлялись по всему миру. Среди наиболее пострадавших — Бразилия, Индия, США, Аргентина, ЮАР, Филиппины, Мексика.
• Keenadu. Этот вредонос наши эксперты обнаружили в прошивках новых устройств еще 5 ноября 2025 года, однако широкую известность он получил после выхода нашего исследования в феврале 2026 года. Keenadu маскируется под легитимные системные компоненты, встраивается даже в приложение разблокировки по лицу и потенциально открывает злоумышленникам доступ к биометрии, банковским данным и переписке.

Корни у всех этих историй общие — троян Triada, впервые описанный нашими исследователями еще в 2016 году и названный тогда «одним из самых продвинутых мобильных троянов». За десять лет он эволюционировал из классического зловреда в модульный бэкдор, который внедряется прямо в прошивку на одном из этапов производства.

Как работает схема заражения

Производители дешевых приставок экономят буквально на всем — на сертификации Google Play Protect, на аудите прошивки, на обновлениях. Многие устройства работают на Android Open Source Project без каких-либо гарантий безопасности. И вот где-то на одном из этапов цепочки поставок — на фабрике, у посредника или у дистрибьютора — в образ прошивки добавляется бэкдор. По версии наших экспертов, производитель может даже не знать о компрометации.

Массовость заражения превращает миллионы одинаковых коробочек в идеальную основу для ботнета: каждое зараженное устройство — это отдельный IP-адрес, который можно сдать в аренду кому угодно. Операторы ботнетов вроде Kimwolf зарабатывают не только на распределенных DDoS-атаках, но и на перепродаже пропускной способности зараженных «умных» ТВ-приставок.

Чем это грозит вам

Зараженная ТВ-приставка стоит в вашей квартире и подключена к домашнему Wi-Fi. А значит, она «видит» и смартфоны с банковскими приложениями, и сетевые хранилища (NAS) с семейным архивом, и IP-камеры, и умные замки, и рабочие ноутбуки, и вообще все подключенные к Wi-Fi устройства.

Имея такой «плацдарм» внутри домашней сети, злоумышленник может перехватывать незашифрованный трафик, подменять DNS-запросы, сканировать порты и искать уязвимости на соседних устройствах. Ну и использовать ваш IP-адрес для мошенничества, после чего — в лучшем случае — он попадет в черные списки, и легитимные сервисы начнут блокировать вас «за подозрительную активность», а в худшем — к вам в дверь постучатся правоохранители.

Как распознать потенциально опасный гаджет

Стоит насторожиться, если устройство:

• продается под «брендами-пустышками» вроде T95, X96Q, MX10, TV BOX, SuperBox и так далее;
• обещает бесплатный пожизненный доступ к платным сервисам за разовый платеж;
• требует отключить Google Play Protect или установить сторонние APK при первом запуске;
• не имеет сертификации Play Protect вообще;
• рекламируется через агрессивный спам в соцсетях;

Как не стать ячейкой ботнета

• Покупайте сертифицированные приставки с Google Play Protect, а также устройства от известных операторов связи.
• Изолируйте все устройства «умного дома»: создайте на домашнем роутере отдельную Wi-Fi-сеть для ТВ-приставок, камер, колонок, пылесосов и так далее, а смартфоны, сетевые хранилища и компьютеры подключайте к основной сети. Это предотвратит «горизонтальное» распространение вируса на ваши гаджеты.
• Регулярно обновляйте прошивки всех устройств и не забывайте про роутер — он тоже уязвимое звено.
• Удалите с Android-приставки все приложения, которые вы не ставили самостоятельно, особенно «магазины», «ускорители Wi-Fi» и «очистители».
• Следите за трафиком. Современные роутеры и Kaspersky Premium умеют показывать, какие устройства куда подключаются. Регулярные соединения медиаплеера с серверами в Китае — повод задуматься о его безопасности.
• Поставьте Kaspersky Premium на все свои устройства — он защитит от троянов и блокирует фишинговые страницы, через которые часто распространяются зараженные APK-afqks.
• Не отключайте защиту Google Play Protect и не устанавливайте APK из сомнительных источников — это главный вектор заражения в обход магазина приложений.
• Если сомневаетесь — верните приставку. Дешевый бокс не стоит ни вашей биометрии, ни банковских данных, ни репутации вашего IP-адреса.

Как еще защитить устройства умного дома? Читайте в наших постах:

• Подслушивают ли вас телевизоры, смартфоны и умные колонки?
• Работает ли ваш роутер на иностранные спецслужбы?
• Уязвимость в приложении для управления умным домом Rubetek Home
• Лучшие стандарты умного дома и как их применить
• Как защитить умный дом