Sua TV Box Android é Parte de uma Botnet? – Krebs on Security
Dispositivos de streaming como o Superbox, vendidos em grandes varejistas, podem parecer uma pechincha, mas escondem software que transforma sua rede em um proxy para atividades criminosas, como fraudes de publicidade e roubo de contas.
MundiX News·19 de junho de 2026·10 min de leitura·👁 8 views
À primeira vista, os dispositivos de streaming de mídia Superbox, à venda em varejistas como BestBuy e Walmart, podem parecer uma pechincha: oferecem acesso ilimitado a mais de 2.200 serviços de pay-per-view e streaming como Netflix, ESPN e Hulu, tudo por uma taxa única de cerca de US$ 400. No entanto, especialistas em segurança alertam que essas caixas de TV exigem software intrusivo que força a rede do usuário a retransmitir tráfego da Internet para terceiros, tráfego que muitas vezes está ligado a atividades de cibercrime, como fraudes de publicidade e roubo de contas.
O Superbox se apresenta como uma forma acessível para as famílias transmitirem todo o conteúdo de televisão e filmes que desejarem, sem o incômodo das taxas de assinatura mensais – por um pagamento único de quase US$ 400. "Cansado de contas de TV a cabo confusas e taxas ocultas?", pergunta o site do Superbox em uma postagem recente de blog intitulada "TV a Cabo Barata para Baixa Renda: Assista TV, Sem Contas Mensais". "Soluções reais de TV a cabo barata para baixa renda existem", continua o blog. "Este guia detalha as melhores alternativas para parar de pagar demais, desde opções gratuitas de transmissão aérea até dispositivos de compra única que eliminam as contas mensais". O Superbox afirma que assistir a um fluxo de filmes, programas de TV e eventos esportivos não violará a lei de direitos autorais dos EUA.
"O SuperBox é como qualquer outra caixa Android TV no mercado, não podemos controlar qual software os clientes usarão", afirma o site da empresa. "E você não encontrará um problema legal, a menos que esteja fazendo upload, download ou transmissão de conteúdo para um grande grupo". Não há nada ilegal na venda ou uso do Superbox em si, que pode ser usado estritamente como uma forma de transmitir conteúdo de provedores onde os usuários já possuem uma assinatura paga. Mas não é por isso que as pessoas estão desembolsando US$ 400 por essas máquinas. A única maneira de assistir a esses mais de 2.200 canais gratuitamente com um Superbox é instalar vários aplicativos feitos para o dispositivo que permitem que eles transmitam esse conteúdo. A página inicial do Superbox inclui uma mensagem proeminente declarando que a empresa "não vende acesso ou pré-instala nenhum aplicativo que contorne paywalls ou forneça acesso a conteúdo não autorizado". A empresa explica que eles apenas fornecem o hardware, enquanto os clientes escolhem quais aplicativos instalar. "Nós apenas vendemos o dispositivo de hardware", afirma o aviso. "Os clientes devem usar aplicativos oficiais e serviços licenciados; o uso não autorizado pode violar a lei de direitos autorais".
O Superbox está tecnicamente correto aqui, exceto talvez pela parte sobre como os clientes devem usar aplicativos oficiais e serviços licenciados: antes que o Superbox possa transmitir esses milhares de canais, os usuários devem configurar o dispositivo para se atualizar, e o primeiro passo envolve remover a loja oficial Google Play e substituí-la por algo chamado "App Store" ou "Blue TV Store". O Superbox faz isso porque o dispositivo não usa o sistema oficial Android TV certificado pelo Google, e seus aplicativos não carregarão de outra forma. Somente depois que a loja Google Play for substituída por esta App Store não oficial é que os vários aplicativos de streaming de filmes e vídeos que são construídos especificamente para o Superbox aparecem disponíveis para download (novamente, fora do ecossistema de aplicativos do Google). Especialistas dizem que, embora essas caixas de streaming Android geralmente façam o que anunciam – permitindo que os compradores transmitam conteúdo de vídeo que normalmente exigiria uma assinatura paga – os aplicativos que permitem o streaming também prendem a conexão de Internet do usuário em uma rede de proxy residencial distribuída que usa os dispositivos para retransmitir tráfego de terceiros.
Ashley, engenheira sênior de soluções na Censys, uma empresa de inteligência cibernética que indexa dispositivos, serviços e hosts conectados à Internet, pediu que apenas seu primeiro nome fosse usado nesta história. Em uma entrevista em vídeo recente, Ashley mostrou vários modelos Superbox que a Censys estava estudando no laboratório de malware – incluindo um comprado pronto na BestBuy. "Tenho certeza de que muitas pessoas estão pensando: 'Ei, quão ruim pode ser se estiver à venda nas grandes lojas?'", disse ela. "Mas quanto mais eu olhava, as coisas ficavam mais estranhas e mais estranhas". Ashley disse que descobriu que os dispositivos Superbox contatavam imediatamente um servidor no serviço de mensagens instantâneas chinês Tencent QQ, bem como um serviço de proxy residencial chamado Grass IO.
Também conhecido como getgrass[.]io, o Grass afirma ser "uma rede descentralizada que permite aos usuários ganhar recompensas compartilhando sua largura de banda de Internet não utilizada com laboratórios de IA e outras empresas". "Os compradores buscam largura de banda de Internet não utilizada para acessar uma gama mais diversificada de endereços IP, o que lhes permite ver certos sites de uma perspectiva de varejo", explica o site do Grass. "Ao utilizar sua largura de banda de Internet não utilizada, eles podem realizar pesquisas de mercado ou executar tarefas como web scraping para treinar IA". Contatado via Twitter/X, o fundador do Grass, Andrej Radonjic, disse a KrebsOnSecurity que nunca tinha ouvido falar de um Superbox e que o Grass não tem afiliação com o fabricante do dispositivo. "Parece que essas caixas estão distribuindo uma rede de proxy antiética que as pessoas estão usando para tentar tirar vantagem do Grass", disse Radonjic. "O objetivo do Grass é ser uma rede opt-in. Você baixa o aplicativo Grass para monetizar sua largura de banda não utilizada. Existem toneladas de SDKs duvidosos por aí que sequestram a largura de banda das pessoas para ajudar empresas de web scraping". Radonjic disse que o Grass implementou "um sistema robusto para identificar abusadores da rede" e que, se descobrir alguém tentando usar indevidamente ou contornar seus termos de serviço, a empresa toma medidas para pará-lo e impedir que esses usuários ganhem pontos ou recompensas.
A empresa controladora do Superbox, Super Media Technology Company Ltd., lista seu endereço comercial como uma loja UPS em Fountain Valley, Califórnia. A empresa não respondeu a várias consultas. De acordo com este teardown do behindmlm.com, um blog que cobre esquemas de marketing multinível (MLM), o plano de remuneração do Grass é construído em torno de "pontos de grama", que são ganhos através do uso do aplicativo Grass e através do uso do aplicativo por afiliados recrutados. Os afiliados podem ganhar 5.000 pontos de grama por registrar 100 horas de uso do aplicativo Grass, mas devem progredir através de dez níveis ou classificações de afiliados antes de poderem resgatar seus pontos de grama (presumivelmente por algum tipo de criptomoeda). O 10º nível, "Titan", exige que os afiliados acumulem impressionantes 50 milhões de pontos de grama, ou recrutem pelo menos mais 221 afiliados. Radonjic disse que o sistema do Grass mudou nos últimos meses e confirmou que a empresa tem um programa de indicação onde os usuários podem ganhar Grass Uptime Points contribuindo com sua própria largura de banda e/ou convidando outros usuários para participar. "Os usuários não são obrigados a participar do programa de indicação para ganhar Grass Uptime Points ou para receber Grass Tokens", disse Radonjic. "O Grass está em processo de descontinuação do programa de indicação e introduziu um modelo atualizado de Grass Points".
Uma revisão da página de Termos e Condições para getgrass[.]io no Wayback Machine mostra que a empresa controladora do Grass mudou de nome pelo menos cinco vezes ao longo de sua existência de dois anos. Pesquisar no Wayback Machine em getgrass[.]io mostra que em junho de 2023 o Grass pertencia a uma empresa chamada Wynd Network. Em março de 2024, o proprietário era listado como Lower Tribeca Corp. nas Bahamas. Em agosto de 2024, o Grass era controlado pela Half Space Labs Limited, e em novembro de 2024 a empresa pertencia à Grass OpCo (BVI) Ltd. Atualmente, o site do Grass diz que sua controladora é apenas Grass OpCo Ltd (sem BVI no nome). Radonjic reconheceu que o Grass passou por "algumas limpezas corporativas nos últimos dois anos", mas as descreveu como mudanças administrativas que não tiveram impacto operacional. "Isso reflete reestruturações normais de estágio inicial à medida que o projeto passou do desenvolvimento inicial... para a estrutura atual sob a Grass Foundation", disse ele.
A engenheira da Censys, Ashley, disse que o contato com o serviço de mensagens instantâneas chinês Tencent QQ foi o primeiro sinal de alerta com os dispositivos Superbox que ela examinou. Ela também descobriu que as caixas de streaming incluíam ferramentas poderosas de análise de rede e acesso remoto, como Tcpdump e Netcat. "Este dispositivo fez DNS hijacking do meu roteador, fez ARP poisoning a ponto de as coisas caírem da rede para que pudessem assumir esse IP e tentou contornar os controles", disse ela. "Eu tenho root em todos eles agora, e eles realmente têm uma pasta chamada 'secondstage'. Esses dispositivos também têm Netcat e Tcpdump neles, e ainda assim deveriam ser dispositivos de streaming". Uma rápida pesquisa online mostra vários modelos Superbox e muitos dispositivos de streaming Android semelhantes à venda em uma ampla gama de destinos de varejo de ponta, incluindo Amazon, BestBuy, Newegg e Walmart. O Newegg.com, por exemplo, atualmente lista mais de três dúzias de modelos Superbox. Em todos os casos, os produtos são vendidos por comerciantes terceirizados nessas plataformas, mas em muitos casos o cumprimento vem da própria plataforma de e-commerce. "O Newegg está bem ruim agora com esses dispositivos", disse Ashley. "O eBay é o mais engraçado, porque eles têm o Superbox em espanhol – o SuperCaja – que é muito popular".
Ashley disse que a Amazon recentemente reprimiu os dispositivos de streaming Android com a marca Superbox, mas que essas listagens ainda podem ser encontradas sob o título mais genérico "modem and router combo" (que pode ser um pouco mais próximo da verdade sobre o comportamento do dispositivo). O Superbox não anuncia seus produtos de forma convencional. Em vez disso, parece depender de influenciadores menos conhecidos em locais como Youtube e TikTok para promover os dispositivos. Enquanto isso, disse Ashley, o Superbox paga a esses influenciadores 50% do valor de cada dispositivo que eles vendem. "É estranho para mim porque o marketing de influenciadores geralmente tem uma compensação máxima de 15%, e isso significa que eles não se importam com o dinheiro", disse ela. "Isso é sobre construir a rede deles".
Tão abundantes quanto os Superbox em sites de comércio eletrônico, eles são apenas uma marca em um oceano de caixas de TV Android sem nome disponíveis para os consumidores. Embora esses dispositivos geralmente forneçam aos compradores conteúdo de streaming "gratuito", eles também tendem a incluir malware pré-instalado de fábrica ou exigir a instalação de aplicativos de terceiros que envolvem o endereço de Internet do usuário em fraudes de publicidade. Em julho de 2025, o Google entrou com um processo "John Doe" (PDF) contra 25 réus não identificados, apelidados de "BadBox 2.0 Enterprise", que o Google descreveu como uma botnet de mais de dez milhões de dispositivos de streaming Android que se envolveram em fraudes de publicidade. O Google disse que a botnet BADBOX 2.0, além de comprometer vários tipos de dispositivos antes da compra, também pode infectar dispositivos exigindo o download de aplicativos maliciosos de mercados não oficiais. Vários dos dispositivos de streaming Android sinalizados no processo do Google ainda estão amplamente à venda em grandes fornecedores de varejo. Por exemplo, a pesquisa pelos boxes de streaming Android "X88Pro 10" e "T95" mostra que ambos continuam a ser vendidos por vendedores da Amazon. O processo do Google veio na esteira de um aviso de junho de 2025 do Federal Bureau of Investigation (FBI), que alertou que cibercriminosos estavam obtendo acesso não autorizado a redes domésticas, configurando os produtos com software malicioso antes da compra pelo usuário, ou infectando o dispositivo enquanto ele baixa aplicativos necessários que contêm backdoors, geralmente durante o processo de configuração. "Uma vez que esses dispositivos IoT comprometidos são conectados a redes domésticas, os dispositivos infectados são suscetíveis a se tornarem parte da botnet BADBOX 2.0 e serviços de proxy residencial conhecidos por serem usados para atividades maliciosas", disse o FBI. O FBI disse que o BADBOX 2.0 foi descoberto após a interrupção da campanha original do BADBOX em 2024. O BADBOX original foi identificado em 2023 e consistiu principalmente em dispositivos com sistema operacional Android que foram comprometidos com malware backdoor antes da compra.
Riley Kilmer, fundador da Spur, uma empresa que rastreia redes de proxy residencial, disse que o Badbox 2.0 foi usado como plataforma de distribuição para IPidea, uma entidade sediada na China que é agora a maior rede de proxy residencial do mundo. Kilmer e outros dizem que o IPidea é meramente uma redenominação do 911S5 Proxy, um provedor de proxy sediado na China sancionado no ano passado pelo Departamento do Tesouro dos EUA por operar uma botnet que ajudou criminosos a roubar bilhões de dólares de instituições financeiras, emissores de cartões de crédito e programas federais de empréstimo (o Departamento de Justiça dos EUA também prendeu o suposto proprietário do 911S5). Como a maioria dos clientes do IPidea está usando o serviço de proxy? De acordo com o serviço de detecção de proxy Synthient, seis dos dez principais destinos para proxies IPidea envolveram tráfego que foi vinculado a fraude de anúncios ou credential stuffing (tentativas de tomada de conta). Kilmer disse que empresas como a Grass provavelmente estão sendo sinceras quando dizem que alguns de seus clientes são empresas que realizam web scraping para treinar esforços de inteligência artificial, porque uma grande quantidade de scraping de conteúdo que beneficia as empresas de IA está agora alavancando essas redes de proxy para ofuscar ainda mais suas atividades agressivas de coleta de dados. Ao rotear esse tráfego indesejado através de endereços IP residenciais, disse Kilmer, as empresas de scraping de conteúdo podem tornar muito mais difícil de filtrar. "Web crawling e scraping sempre existiram, mas a IA o tornou como uma commodity, dados que precisavam ser coletados", disse Kilmer a KrebsOnSecurity. "Todo mundo queria monetizar seus próprios potes de dados, e como eles monetizam isso é diferente em todos os lugares".
Produtos como o Superbox estão atraindo interesse crescente dos consumidores à medida que mais programas de TV populares e transmissões esportivas migram para serviços de streaming por assinatura, e à medida que as pessoas começam a perceber que estão gastando tanto ou mais em serviços de streaming do que pagavam anteriormente por TV a cabo ou satélite. Esses dispositivos de streaming de fornecedores de tecnologia sem nome são outro exemplo do ditado: "Se algo é grátis, você é o produto", o que significa que a empresa está ganhando dinheiro vendendo acesso e/ou informações sobre seus usuários e seus dados. Os proprietários do Superbox podem argumentar: "Grátis? Paguei US$ 400 por esse dispositivo!" Mas lembre-se: só porque você pagou caro por algo não significa que você terminou de pagar por isso, ou que de alguma forma você é o único que pode sair perdendo com a transação. Pode ser que muitos clientes do Superbox não se importem se alguém usa sua conexão com a Internet para tunelar tráfego para fraude de anúncios e roubo de contas; para eles, isso é melhor do que pagar por vários serviços de streaming por mês. Minha suposição, no entanto, é que muitas pessoas que compram (ou recebem de presente) esses produtos têm pouca compreensão do acordo que estão fazendo ao conectá-los a um roteador de Internet. O Superbox realiza algumas ginásticas linguísticas sérias para afirmar que seus produtos não violam as leis de direitos autorais, e que seus clientes são os únicos responsáveis por entender e observar quaisquer leis locais sobre o assunto. No entanto, comprador, cuidado: se você é residente dos Estados Unidos, saiba que usar esses dispositivos para streaming não autorizado viola o Digital Millennium Copyright Act (DMCA) e pode resultar em ações legais, multas e potenciais avisos e/ou suspensão de serviço pelo seu provedor de serviços de Internet. De acordo com o FBI, existem vários sinais a serem observados que podem indicar que um dispositivo de streaming que você possui é malicioso, incluindo: - A presença de mercados suspeitos onde os aplicativos são baixados. - Exigir que as configurações do Google Play Protect sejam desativadas. - Dispositivos genéricos de streaming de TV anunciados como desbloqueados ou capazes de acessar conteúdo gratuito. - Dispositivos IoT anunciados de marcas irreconhecíveis. - Dispositivos Android que não são certificados pelo Play Protect. - Tráfego de Internet inexplicável ou suspeito. Este explicador da Electronic Frontier Foundation aprofunda cada um dos sintomas potenciais listados acima.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
À primeira vista, os dispositivos de streaming de mídia Superbox, à venda em varejistas como BestBuy e Walmart, podem parecer uma pechincha: oferecem acesso ilimitado a mais de 2.200 serviços de pay-per-view e streaming como Netflix, ESPN e Hulu, tudo por uma taxa única de cerca de US$ 400. No entanto, especialistas em segurança alertam que essas caixas de TV exigem software intrusivo que força a rede do usuário a retransmitir tráfego da Internet para terceiros, tráfego que muitas vezes está ligado a atividades de cibercrime, como fraudes de publicidade e roubo de contas.
O Superbox se apresenta como uma forma acessível para as famílias transmitirem todo o conteúdo de televisão e filmes que desejarem, sem o incômodo das taxas de assinatura mensais – por um pagamento único de quase US$ 400. "Cansado de contas de TV a cabo confusas e taxas ocultas?", pergunta o site do Superbox em uma postagem recente de blog intitulada "TV a Cabo Barata para Baixa Renda: Assista TV, Sem Contas Mensais". "Soluções reais de TV a cabo barata para baixa renda existem", continua o blog. "Este guia detalha as melhores alternativas para parar de pagar demais, desde opções gratuitas de transmissão aérea até dispositivos de compra única que eliminam as contas mensais". O Superbox afirma que assistir a um fluxo de filmes, programas de TV e eventos esportivos não violará a lei de direitos autorais dos EUA.
"O SuperBox é como qualquer outra caixa Android TV no mercado, não podemos controlar qual software os clientes usarão", afirma o site da empresa. "E você não encontrará um problema legal, a menos que esteja fazendo upload, download ou transmissão de conteúdo para um grande grupo". Não há nada ilegal na venda ou uso do Superbox em si, que pode ser usado estritamente como uma forma de transmitir conteúdo de provedores onde os usuários já possuem uma assinatura paga. Mas não é por isso que as pessoas estão desembolsando US$ 400 por essas máquinas. A única maneira de assistir a esses mais de 2.200 canais gratuitamente com um Superbox é instalar vários aplicativos feitos para o dispositivo que permitem que eles transmitam esse conteúdo. A página inicial do Superbox inclui uma mensagem proeminente declarando que a empresa "não vende acesso ou pré-instala nenhum aplicativo que contorne paywalls ou forneça acesso a conteúdo não autorizado". A empresa explica que eles apenas fornecem o hardware, enquanto os clientes escolhem quais aplicativos instalar. "Nós apenas vendemos o dispositivo de hardware", afirma o aviso. "Os clientes devem usar aplicativos oficiais e serviços licenciados; o uso não autorizado pode violar a lei de direitos autorais".
O Superbox está tecnicamente correto aqui, exceto talvez pela parte sobre como os clientes devem usar aplicativos oficiais e serviços licenciados: antes que o Superbox possa transmitir esses milhares de canais, os usuários devem configurar o dispositivo para se atualizar, e o primeiro passo envolve remover a loja oficial Google Play e substituí-la por algo chamado "App Store" ou "Blue TV Store". O Superbox faz isso porque o dispositivo não usa o sistema oficial Android TV certificado pelo Google, e seus aplicativos não carregarão de outra forma. Somente depois que a loja Google Play for substituída por esta App Store não oficial é que os vários aplicativos de streaming de filmes e vídeos que são construídos especificamente para o Superbox aparecem disponíveis para download (novamente, fora do ecossistema de aplicativos do Google). Especialistas dizem que, embora essas caixas de streaming Android geralmente façam o que anunciam – permitindo que os compradores transmitam conteúdo de vídeo que normalmente exigiria uma assinatura paga – os aplicativos que permitem o streaming também prendem a conexão de Internet do usuário em uma rede de proxy residencial distribuída que usa os dispositivos para retransmitir tráfego de terceiros.
Ashley, engenheira sênior de soluções na Censys, uma empresa de inteligência cibernética que indexa dispositivos, serviços e hosts conectados à Internet, pediu que apenas seu primeiro nome fosse usado nesta história. Em uma entrevista em vídeo recente, Ashley mostrou vários modelos Superbox que a Censys estava estudando no laboratório de malware – incluindo um comprado pronto na BestBuy. "Tenho certeza de que muitas pessoas estão pensando: 'Ei, quão ruim pode ser se estiver à venda nas grandes lojas?'", disse ela. "Mas quanto mais eu olhava, as coisas ficavam mais estranhas e mais estranhas". Ashley disse que descobriu que os dispositivos Superbox contatavam imediatamente um servidor no serviço de mensagens instantâneas chinês Tencent QQ, bem como um serviço de proxy residencial chamado Grass IO.
Também conhecido como getgrass[.]io, o Grass afirma ser "uma rede descentralizada que permite aos usuários ganhar recompensas compartilhando sua largura de banda de Internet não utilizada com laboratórios de IA e outras empresas". "Os compradores buscam largura de banda de Internet não utilizada para acessar uma gama mais diversificada de endereços IP, o que lhes permite ver certos sites de uma perspectiva de varejo", explica o site do Grass. "Ao utilizar sua largura de banda de Internet não utilizada, eles podem realizar pesquisas de mercado ou executar tarefas como web scraping para treinar IA". Contatado via Twitter/X, o fundador do Grass, Andrej Radonjic, disse a KrebsOnSecurity que nunca tinha ouvido falar de um Superbox e que o Grass não tem afiliação com o fabricante do dispositivo. "Parece que essas caixas estão distribuindo uma rede de proxy antiética que as pessoas estão usando para tentar tirar vantagem do Grass", disse Radonjic. "O objetivo do Grass é ser uma rede opt-in. Você baixa o aplicativo Grass para monetizar sua largura de banda não utilizada. Existem toneladas de SDKs duvidosos por aí que sequestram a largura de banda das pessoas para ajudar empresas de web scraping". Radonjic disse que o Grass implementou "um sistema robusto para identificar abusadores da rede" e que, se descobrir alguém tentando usar indevidamente ou contornar seus termos de serviço, a empresa toma medidas para pará-lo e impedir que esses usuários ganhem pontos ou recompensas.
A empresa controladora do Superbox, Super Media Technology Company Ltd., lista seu endereço comercial como uma loja UPS em Fountain Valley, Califórnia. A empresa não respondeu a várias consultas. De acordo com este teardown do behindmlm.com, um blog que cobre esquemas de marketing multinível (MLM), o plano de remuneração do Grass é construído em torno de "pontos de grama", que são ganhos através do uso do aplicativo Grass e através do uso do aplicativo por afiliados recrutados. Os afiliados podem ganhar 5.000 pontos de grama por registrar 100 horas de uso do aplicativo Grass, mas devem progredir através de dez níveis ou classificações de afiliados antes de poderem resgatar seus pontos de grama (presumivelmente por algum tipo de criptomoeda). O 10º nível, "Titan", exige que os afiliados acumulem impressionantes 50 milhões de pontos de grama, ou recrutem pelo menos mais 221 afiliados. Radonjic disse que o sistema do Grass mudou nos últimos meses e confirmou que a empresa tem um programa de indicação onde os usuários podem ganhar Grass Uptime Points contribuindo com sua própria largura de banda e/ou convidando outros usuários para participar. "Os usuários não são obrigados a participar do programa de indicação para ganhar Grass Uptime Points ou para receber Grass Tokens", disse Radonjic. "O Grass está em processo de descontinuação do programa de indicação e introduziu um modelo atualizado de Grass Points".
Uma revisão da página de Termos e Condições para getgrass[.]io no Wayback Machine mostra que a empresa controladora do Grass mudou de nome pelo menos cinco vezes ao longo de sua existência de dois anos. Pesquisar no Wayback Machine em getgrass[.]io mostra que em junho de 2023 o Grass pertencia a uma empresa chamada Wynd Network. Em março de 2024, o proprietário era listado como Lower Tribeca Corp. nas Bahamas. Em agosto de 2024, o Grass era controlado pela Half Space Labs Limited, e em novembro de 2024 a empresa pertencia à Grass OpCo (BVI) Ltd. Atualmente, o site do Grass diz que sua controladora é apenas Grass OpCo Ltd (sem BVI no nome). Radonjic reconheceu que o Grass passou por "algumas limpezas corporativas nos últimos dois anos", mas as descreveu como mudanças administrativas que não tiveram impacto operacional. "Isso reflete reestruturações normais de estágio inicial à medida que o projeto passou do desenvolvimento inicial... para a estrutura atual sob a Grass Foundation", disse ele.
A engenheira da Censys, Ashley, disse que o contato com o serviço de mensagens instantâneas chinês Tencent QQ foi o primeiro sinal de alerta com os dispositivos Superbox que ela examinou. Ela também descobriu que as caixas de streaming incluíam ferramentas poderosas de análise de rede e acesso remoto, como Tcpdump e Netcat. "Este dispositivo fez DNS hijacking do meu roteador, fez ARP poisoning a ponto de as coisas caírem da rede para que pudessem assumir esse IP e tentou contornar os controles", disse ela. "Eu tenho root em todos eles agora, e eles realmente têm uma pasta chamada 'secondstage'. Esses dispositivos também têm Netcat e Tcpdump neles, e ainda assim deveriam ser dispositivos de streaming". Uma rápida pesquisa online mostra vários modelos Superbox e muitos dispositivos de streaming Android semelhantes à venda em uma ampla gama de destinos de varejo de ponta, incluindo Amazon, BestBuy, Newegg e Walmart. O Newegg.com, por exemplo, atualmente lista mais de três dúzias de modelos Superbox. Em todos os casos, os produtos são vendidos por comerciantes terceirizados nessas plataformas, mas em muitos casos o cumprimento vem da própria plataforma de e-commerce. "O Newegg está bem ruim agora com esses dispositivos", disse Ashley. "O eBay é o mais engraçado, porque eles têm o Superbox em espanhol – o SuperCaja – que é muito popular".
Ashley disse que a Amazon recentemente reprimiu os dispositivos de streaming Android com a marca Superbox, mas que essas listagens ainda podem ser encontradas sob o título mais genérico "modem and router combo" (que pode ser um pouco mais próximo da verdade sobre o comportamento do dispositivo). O Superbox não anuncia seus produtos de forma convencional. Em vez disso, parece depender de influenciadores menos conhecidos em locais como Youtube e TikTok para promover os dispositivos. Enquanto isso, disse Ashley, o Superbox paga a esses influenciadores 50% do valor de cada dispositivo que eles vendem. "É estranho para mim porque o marketing de influenciadores geralmente tem uma compensação máxima de 15%, e isso significa que eles não se importam com o dinheiro", disse ela. "Isso é sobre construir a rede deles".
Tão abundantes quanto os Superbox em sites de comércio eletrônico, eles são apenas uma marca em um oceano de caixas de TV Android sem nome disponíveis para os consumidores. Embora esses dispositivos geralmente forneçam aos compradores conteúdo de streaming "gratuito", eles também tendem a incluir malware pré-instalado de fábrica ou exigir a instalação de aplicativos de terceiros que envolvem o endereço de Internet do usuário em fraudes de publicidade. Em julho de 2025, o Google entrou com um processo "John Doe" (PDF) contra 25 réus não identificados, apelidados de "BadBox 2.0 Enterprise", que o Google descreveu como uma botnet de mais de dez milhões de dispositivos de streaming Android que se envolveram em fraudes de publicidade. O Google disse que a botnet BADBOX 2.0, além de comprometer vários tipos de dispositivos antes da compra, também pode infectar dispositivos exigindo o download de aplicativos maliciosos de mercados não oficiais. Vários dos dispositivos de streaming Android sinalizados no processo do Google ainda estão amplamente à venda em grandes fornecedores de varejo. Por exemplo, a pesquisa pelos boxes de streaming Android "X88Pro 10" e "T95" mostra que ambos continuam a ser vendidos por vendedores da Amazon. O processo do Google veio na esteira de um aviso de junho de 2025 do Federal Bureau of Investigation (FBI), que alertou que cibercriminosos estavam obtendo acesso não autorizado a redes domésticas, configurando os produtos com software malicioso antes da compra pelo usuário, ou infectando o dispositivo enquanto ele baixa aplicativos necessários que contêm backdoors, geralmente durante o processo de configuração. "Uma vez que esses dispositivos IoT comprometidos são conectados a redes domésticas, os dispositivos infectados são suscetíveis a se tornarem parte da botnet BADBOX 2.0 e serviços de proxy residencial conhecidos por serem usados para atividades maliciosas", disse o FBI. O FBI disse que o BADBOX 2.0 foi descoberto após a interrupção da campanha original do BADBOX em 2024. O BADBOX original foi identificado em 2023 e consistiu principalmente em dispositivos com sistema operacional Android que foram comprometidos com malware backdoor antes da compra.
Riley Kilmer, fundador da Spur, uma empresa que rastreia redes de proxy residencial, disse que o Badbox 2.0 foi usado como plataforma de distribuição para IPidea, uma entidade sediada na China que é agora a maior rede de proxy residencial do mundo. Kilmer e outros dizem que o IPidea é meramente uma redenominação do 911S5 Proxy, um provedor de proxy sediado na China sancionado no ano passado pelo Departamento do Tesouro dos EUA por operar uma botnet que ajudou criminosos a roubar bilhões de dólares de instituições financeiras, emissores de cartões de crédito e programas federais de empréstimo (o Departamento de Justiça dos EUA também prendeu o suposto proprietário do 911S5). Como a maioria dos clientes do IPidea está usando o serviço de proxy? De acordo com o serviço de detecção de proxy Synthient, seis dos dez principais destinos para proxies IPidea envolveram tráfego que foi vinculado a fraude de anúncios ou credential stuffing (tentativas de tomada de conta). Kilmer disse que empresas como a Grass provavelmente estão sendo sinceras quando dizem que alguns de seus clientes são empresas que realizam web scraping para treinar esforços de inteligência artificial, porque uma grande quantidade de scraping de conteúdo que beneficia as empresas de IA está agora alavancando essas redes de proxy para ofuscar ainda mais suas atividades agressivas de coleta de dados. Ao rotear esse tráfego indesejado através de endereços IP residenciais, disse Kilmer, as empresas de scraping de conteúdo podem tornar muito mais difícil de filtrar. "Web crawling e scraping sempre existiram, mas a IA o tornou como uma commodity, dados que precisavam ser coletados", disse Kilmer a KrebsOnSecurity. "Todo mundo queria monetizar seus próprios potes de dados, e como eles monetizam isso é diferente em todos os lugares".
Produtos como o Superbox estão atraindo interesse crescente dos consumidores à medida que mais programas de TV populares e transmissões esportivas migram para serviços de streaming por assinatura, e à medida que as pessoas começam a perceber que estão gastando tanto ou mais em serviços de streaming do que pagavam anteriormente por TV a cabo ou satélite. Esses dispositivos de streaming de fornecedores de tecnologia sem nome são outro exemplo do ditado: "Se algo é grátis, você é o produto", o que significa que a empresa está ganhando dinheiro vendendo acesso e/ou informações sobre seus usuários e seus dados. Os proprietários do Superbox podem argumentar: "Grátis? Paguei US$ 400 por esse dispositivo!" Mas lembre-se: só porque você pagou caro por algo não significa que você terminou de pagar por isso, ou que de alguma forma você é o único que pode sair perdendo com a transação. Pode ser que muitos clientes do Superbox não se importem se alguém usa sua conexão com a Internet para tunelar tráfego para fraude de anúncios e roubo de contas; para eles, isso é melhor do que pagar por vários serviços de streaming por mês. Minha suposição, no entanto, é que muitas pessoas que compram (ou recebem de presente) esses produtos têm pouca compreensão do acordo que estão fazendo ao conectá-los a um roteador de Internet. O Superbox realiza algumas ginásticas linguísticas sérias para afirmar que seus produtos não violam as leis de direitos autorais, e que seus clientes são os únicos responsáveis por entender e observar quaisquer leis locais sobre o assunto. No entanto, comprador, cuidado: se você é residente dos Estados Unidos, saiba que usar esses dispositivos para streaming não autorizado viola o Digital Millennium Copyright Act (DMCA) e pode resultar em ações legais, multas e potenciais avisos e/ou suspensão de serviço pelo seu provedor de serviços de Internet. De acordo com o FBI, existem vários sinais a serem observados que podem indicar que um dispositivo de streaming que você possui é malicioso, incluindo: - A presença de mercados suspeitos onde os aplicativos são baixados. - Exigir que as configurações do Google Play Protect sejam desativadas. - Dispositivos genéricos de streaming de TV anunciados como desbloqueados ou capazes de acessar conteúdo gratuito. - Dispositivos IoT anunciados de marcas irreconhecíveis. - Dispositivos Android que não são certificados pelo Play Protect. - Tráfego de Internet inexplicável ou suspeito. Este explicador da Electronic Frontier Foundation aprofunda cada um dos sintomas potenciais listados acima.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
