Zákazníci koupili 10 milionů Android zařízení s virem už z výroby. Nikdo to neřeší a dělají, jako by se nic nestalo
Google loni potvrdil, že malwarová kampaň BADBOX 2.0 zasáhla přes 10 milionů necertifikovaných Android zařízení, a řada z nich odešla z výrobních linek už s virem uvnitř.
Obsah článku
Číslo pochází přímo z oficiálního oznámení Googlu a navazující žaloby podané 11. července 2025 u federálního soudu v New Yorku. Deset milionů kompromitovaných zařízení: TV boxy, streamovací přehrávače, digitální projektory, fotorámečky a aftermarket autorádia. Malware se do nich dostal dvěma cestami: buď byl součástí firmwaru ještě před zabalením do krabice, anebo si ho zařízení stáhlo při prvním spuštění z neoficiálního obchodu s aplikacemi, který výrobce předinstaloval místo Google Play. Bezpečnostní firmy i FBI zasáhly, jenže někteří výrobci a prodejci se tváří, jako by se nic nestalo. Stejné modelové řady se dál objevují v nabídkách online tržišť, včetně těch českých, pod novými názvy a od různých prodejců. Plošné stažení z trhu nepřišlo. Systémový filtr neexistuje.
Kdo zasáhl a kdo se rozhodl mlčet
Google aktualizoval službu Play Protect, aby známé aplikace spojené s kampaní BADBOX 2.0 blokovala, a podal civilní žalobu proti provozovatelům botnetu. FBI vydala veřejné varování už 5. června 2025, v němž pojmenovala rizikové kategorie zařízení. Bezpečnostní firma HUMAN publikovala technickou analýzu s konkrétními modelovými řadami. To jsou subjekty, které proti hrozbě aktivně zasáhly.
Na druhé straně stojí výrobci AOSP TV boxů a prodejci na online tržištích. Electronic Frontier Foundation ještě 24. června 2025 upozorňovala, že po vyhledání „Android TV Box“ na Amazonu byly stále k nalezení mnohé stejné modely od netransparentních prodejců. Už v listopadu 2023 přitom EFF vyzvala americkou FTC, aby se zabývala pokračujícím prodejem těchto zařízení přes Amazon a další platformy. Výsledek? Útočníci se přizpůsobili: po odstranění jednoho inzerátu jednoduše vytvořili nový s mírně pozměněným názvem. Model marketplace, kde nabídky vytvářejí stovky nezávislých prodejců, jim to výrazně usnadňuje.
Co přesně BADBOX 2.0 dělá ve vaší síti
Jakmile se infikované zařízení připojí k internetu, stane se součástí botnetu. HUMAN ve své analýze popsal čtyři skupiny stojící za kampaní (SalesTracker Group, MoYu Group, Lemon Group a LongTV) i jejich hlavní cíle:
- Rezidenční proxy – vaše domácí IP adresa slouží jako krytí pro cizí útoky, včetně pokusů o převzetí účtů.
- Reklamní podvody – skrytá reklamní infrastruktura generovala v době vrcholu až pět miliard podvodných reklamních požadavků týdně.
- Podvodné klikání – falešné klikání na reklamy, které vyčerpává rozpočty inzerentů.
- Vzdálené spouštění kódu – útočník může na zařízení spouštět další škodlivý software.
Google v žalobě doplňuje, že taková infrastruktura může sloužit také k DDoS útokům nebo šíření dalšího malwaru. Provoz BADBOX 2.0 byl zaznamenán ve 222 zemích. Nejvíce zasaženy byly Brazílie, USA, Mexiko, Argentina a Kolumbie.
Prodávají se i v Česku
HUMAN zveřejnil seznam modelových řad, u nichž byla infekce potvrzena alespoň u části zařízení: X96Q, X96 MINI, X96Q_PRO, TV98, KM1, KM6, KM7, KM9PRO, MXQ9PRO a další. Důležitá poznámka: ne každý vyrobený kus daného modelu musí být infikovaný. Stejné modelové řady se ale běžně prodávají i na českém trhu.
- X96Q – nabízí se na Heurece.
- X96 MINI – rovněž na Heurece, přičemž některé produktové popisy zmiňují AOSP a instalaci aplikací z alternativních zdrojů, například APKPure.
- X96Q PRO – dostupný na Kaufland Marketplace.
- X96Q – objevil se i na menším českém e-shopu Dobirkov.
To není důkaz, že každý kus prodaný v Česku je infikovaný. Je to ale důkaz, že se český zákazník může s těmito modelovými řadami běžně setkat a měl by vědět, na co si dát pozor.
Jak poznat riziková zařízení a co s nimi dělat
FBI popsala několik konkrétních varovných znaků. Pokud na některý z nich narazíte před nákupem nebo po něm, zpozorněte:
- Neznámá nebo generická značka, marketing typu „unlocked“ nebo „free content box“.
- Zařízení nemá certifikaci Play Protect – ověřit ji lze v Google Play Store → Nastavení → O aplikaci.
- Při prvním spuštění vás vyzývá k vypnutí Play Protect nebo k instalaci aplikací z neoficiálního obchodu.
- Model odpovídá některé z řad uvedených na seznamu společnosti HUMAN.
Pokud už takové zařízení vlastníte, prvním krokem je odpojit ho od domácí sítě. U malwaru předinstalovaného přímo v systémové vrstvě nemá běžný uživatel jednoduchou možnost zařízení vyčistit; odinstalování jedné aplikace problém nevyřeší. EFF doporučuje zařízení vrátit nebo reklamovat a nahradit certifikovaným modelem od známého výrobce. Seznam zařízení s certifikací Play Protect Google zveřejňuje na stránkách android.com/certified.
Problém, který nezmizel
Investigativní zjištění z června 2026 potvrdila, že vzorec „levné zařízení + skrytý proxy provoz“ na online tržištích přetrvává i po zásazích z roku 2025. Dokud bude existovat poptávka po TV boxech za pár stovek korun a zároveň model tržišť bez účinné kontroly certifikace, budou se podobná zařízení na trhu objevovat i nadále. Útočníci totiž po odstranění jedné nabídky zpravidla rychle vytvoří další.