На первый взгляд, Супербокс Медиа-стриминговые устройства на продажу у таких ритейлеров, как BestBuy и Walmart может показаться находкой: они предлагают неограниченный доступ к более чем 2200 сервисам pay-per-view и стриминга, таким как Netflix , ESPN и Hulu , всё это за единовременную плату около 400 долларов. Однако эксперты по безопасности предупреждают, что для таких телевизионных приставок требуется навязчивое программное обеспечение, которое заставляет сеть пользователя ретранслировать интернет-трафик другим пользователям — трафик, часто связанный с киберпреступностью, такой как рекламное мошенничество и захваты аккаунтов.

Superbox позиционирует себя как доступный способ для семей смотреть весь телевизионный и киноконтент, который они только хотят, без хлопот с ежемесячной подпиской — за единовременную оплату почти в $400.

«Устали путать кабельные счета и скрытые комиссии?» — спрашивает сайт Superbox в недавнем блоге под названием «Дешёвое кабельное телевидение для малообеспеченных: смотрите телевизор, без ежемесячных счетов».

«Действительно дешёвое кабельное телевидение для малообеспеченных решений существует», — продолжает блог. «В этом руководстве рассматриваются лучшие альтернативы для предотвращения переплат — от бесплатных эфирных опций до устройств с одноразовой покупкой, которые устраняют ежемесячные счета.»

Superbox утверждает, что просмотр потока фильмов, телешоу и спортивных событий не нарушает закон США об авторском праве.

«SuperBox — это как любой другой Android TV на рынке, мы не можем контролировать, какое программное обеспечение будут использовать клиенты», — говорится на сайте компании. «И вы не столкнётесь с проблемами закона, если только не загрузите, скачиваете или не транслируете контент большой группе.»

Нет ничего незаконного в продаже или использовании самого Superbox, который можно использовать исключительно как способ трансляции контента у провайдеров, у которых у пользователей уже есть платная подписка. Но именно поэтому люди тратят 400 долларов за эти машины. Единственный способ бесплатно смотреть эти 2 200+ каналов с помощью Superbox — установить несколько приложений, созданных специально для устройства, которые позволяют стримить этот контент.

На главной странице Superbox размещено заметное сообщение, в котором говорится, что компания «не продаёт доступ и не устанавливает предустановленные приложения, которые обходят платные стены или предоставляют доступ к несанкционированному контенту». Компания объясняет, что предоставляет только оборудование, а клиенты сами выбирают, какие приложения устанавливать.

«Мы продаём только аппаратное устройство», — говорится в уведомлении. «Клиенты должны использовать официальные приложения и лицензированные сервисы; несанкционированное использование может нарушать закон об авторском праве.»

Superbox технически прав, за исключением, возможно, части о том, что клиенты должны использовать официальные приложения и лицензированные сервисы: прежде чем Superbox сможет транслировать тысячи каналов, пользователи должны настроить устройство для самообновления, а первым шагом является удаление официального Play Store Google и замена его на так называемый «App Store» или «Blue TV Store».

Superbox делает это, потому что устройство не использует официальную сертифицированную Google систему Android TV, и его приложения не загружаются иначе. Только после того, как Google Play был заменён этим неофициальным App Store, различные приложения для стриминга фильмов и видео, созданные специально для Superbox, появляются доступны для скачивания (опять же, вне экосистемы приложений Google).

Эксперты отмечают, что хотя эти Android-стриминговые приставки обычно делают то, что обещают — позволяя покупателям стримить видеоконтент, который обычно требует платной подписки — приложения, поддерживающие стриминг, также захватывают интернет-соединение пользователя в распределённой жилой прокси-сети, которая использует устройства для ретрансляции трафика от других.

Эшли Является старшим инженером по решениям в компании Переписи , компания, занимающаяся киберразведкой, индексирующей устройства, сервисы и хосты, подключённые к Интернету. Эшли попросила использовать только её имя в этой истории.

В недавнем видеоинтервью Эшли показала несколько моделей Superbox, которые Censys изучала в лаборатории вредоносного ПО — включая одну, купленную на полке в BestBuy.

«Уверена, многие думают: ‘Эй, насколько плохо может быть, если это продаётся в крупных магазинах?’», — сказала она. «Но чем больше я смотрел, тем страннее становилось всё страннее и страннее.»

Эшли сказала, что обнаружила, что устройства Superbox сразу же связались с сервером китайской службы мгновенных сообщений Tencent QQ , а также жилой прокси-сервис под названием Grass IO .

САДИСЬ

Также известный как гетграсс[.]io, по словам Грасса, это «децентрализованная сеть, позволяющая пользователям получать награды, делясь неиспользуемой интернет-пропускной способностью с лабораториями искусственного интеллекта и другими компаниями».

«Покупатели ищут неиспользуемую интернет-пропускную способность, чтобы получить доступ к более разнообразному диапазону IP-адресов, что позволяет им видеть определённые сайты с точки зрения розничной торговли», — объясняет сайт Grass. «Используя вашу неиспользуемую интернет-пропускную способность, они могут проводить маркетинговые исследования или выполнять такие задачи, как веб-скрейпинг для обучения ИИ.»

Связано через Twitter/X, основатель Grass Андрей Радонич сказал KrebsOnSecurity, что никогда не слышал о Супербоксе, и что Грасс не связан с производителем устройства.

«Похоже, что эти приставки распространяют неэтичную прокси-сеть, которую люди используют, чтобы воспользоваться Grass», — сказал Радонжич. «Смысл травы — быть сетью по согласию. Вы скачаете приложение Grass, чтобы монетизировать неиспользуемую пропускную способность. Существует множество сомнительных SDK, которые захватывают трафик людей на помощь компаниям, занимающимся веб-скрапингом.»

Радонжич заявил, что Grass внедрила «надёжную систему для выявления злоупотреблений в сети», и если обнаружит кого-то, пытающегося злоупотреблять или обойти условия обслуживания, компания принимает меры, чтобы остановить это и не дать этим пользователям получать очки или вознаграждения.

Материнская компания Superbox, Super Media Technology Company Ltd. , указывает свой адрес как магазин UPS в Фаунтин-Вэлли, Калифорния. Компания не ответила на многочисленные запросы.

Согласно этому разбору от behindmlm.com, блога, посвящённого схемам многоуровневого маркетинга (MLM), план компенсаций Грасса построен на основе «травяных очков», которые зарабатываются через приложение Grass и через его использование нанятыми партнерами. Партнёры могут заработать 5 000 травяных очков за 100 часов использования приложения Grass, но им нужно пройти десять партнерских уровней или рангов, прежде чем они смогут использовать свои grass-очки (предположительно на криптовалюту). 10-й, или «Титанский» уровень, требует аффилированных лиц накопить целых 50 миллионов травяных очков или привлечь как минимум ещё 221 партнёра .

Радонжич сообщил, что система Grass изменилась в последние месяцы, и подтвердил, что у компании есть программа реферальных программ, в рамках которой пользователи могут зарабатывать Grass Uptime Points, внося собственный вклад в трафик и/или приглашая других пользователей принять участие.

«Пользователи не обязаны участвовать в реферальной программе для заработка Grass Uptime Points или получения Grass Tokens», — сказал Радонжич. «Grass находится в процессе постепенного прекращения программы направлений и внедрил обновлённую модель Grass Points.»

Обзор страницы с условиями и положениями getgrass[.]io на Wayback Machine показывает, что материнская компания Grass меняла название как минимум пять раз за два года существования. Поиск в Wayback Machine на getgrass[.]io показывает, что в июне 2023 года Grass принадлежала компании под названием Сеть Wynd . К марту 2024 года владелец был указан как Нижняя корпорация Трайбека. на Багамах. К августу 2024 года Грасс находился под контролем Half Space Labs Limited , а в ноябре 2024 года компания принадлежала Grass OpCo (BVI) Ltd . В настоящее время на сайте Grass указано, что его материнская компания — просто Grass OpCo Ltd (в названии нет BVI).

Радонжич признал, что Грасс прошёл «несколько корпоративных уборок за последние пару лет», но охарактеризовал их как административные изменения, не имевшие операционного влияния. «Это отражает обычную раннюю реструктуризацию, когда проект перешёл от первоначальной разработки… в нынешнюю структуру под эгидой Grass Foundation», — сказал он.

РАСПАКОВКА

Эшли из Censys сказала, что телефон, на котором базируется китайская служба мгновенных сообщений Tencent QQ, стал первым тревожным сигналом для устройств Superbox, которые она изучала. Она также обнаружила, что стриминговые приставки включают мощные инструменты для анализа сети и удалённого доступа, такие как Tcpdump и Netcat.

«Эта вещь DNS захватила мой роутер, отравила ARP до такой степени, что всё выпадает из сети, чтобы они могли считать этот IP, и пыталась обойти управление», — сказала она. «У меня теперь есть root на всех них, и у них действительно есть папка под названием ‘secondstage’. На этих устройствах также есть Netcat и Tcpdump, но при этом они должны быть стриминговыми устройствами.»

Быстрый поиск в интернете показывает различные модели Superbox и множество подобных Android-стриминговых устройств для продажи в широком ассортименте ведущих магазинов, включая Amazon , BestBuy , Newegg , и Walmart . Например, Newegg.com сейчас выставляет более трёх десятков моделей Superbox. Во всех случаях товары продаются сторонними торговцами на этих платформах, но во многих случаях выполнение осуществляется непосредственно через саму платформу электронной коммерции.

«Newegg сейчас довольно плохо справляется с этими устройствами», — сказала Эшли. «Ebay — самый смешной, потому что у них есть Superbox на испанском — SuperCaja — который очень популярен.»

Эшли сообщила, что Amazon недавно ужесточила контроль над стриминговыми устройствами Android под брендом Superbox, но эти объявления всё ещё можно найти под более общим названием «комбо модема и роутера» (что, возможно, немного ближе к истине о поведении устройства).

Superbox не рекламирует свои продукты в привычном смысле. Скорее, он, похоже, опирается на менее известных инфлюенсеров на таких платформах, как Youtube и TikTok, чтобы продвигать эти устройства. Тем временем, по словам Эшли, Superbox платит этим инфлюенсерам 50 процентов от стоимости каждого проданного ими устройства.

«Мне это кажется странным, потому что маркетинг инфлюенсеров обычно ограничивает компенсацию 15 процентами, и это значит, что им всё равно на деньги», — сказала она. «Речь идёт о создании их сети.»

BADBOX

Несмотря на многочисленное представление Superbox на сайтах электронной коммерции, это всего лишь один бренд среди океана безымянных Android-телевизоров, доступных потребителям. Хотя эти устройства обычно предоставляют покупателям «бесплатный» стриминговый контент, они также часто включают заводские вредоносные программы или требуют установки сторонних приложений, которые привлекают интернет-адрес пользователя к рекламному мошенничеству.

В июле 2025 года Google подала иск «Джон Доу» (PDF) против 25 неопознанных ответчиков, получивших название «BadBox 2.0 Enterprise », который Google описал как ботнет из более чем десяти миллионов Android-стриминговых устройств, занимавшихся рекламным мошенничеством. Google заявила, что ботнет BADBOX 2.0, помимо компрометации нескольких типов устройств до покупки, может также заражать устройства, требуя скачивания вредоносных приложений с неофициальных маркетплейсов.

Несколько стриминговых устройств на Android, отмеченных в судебном процессе Google, до сих пор продаются на ведущих розничных сайтах США. Например, поиск «X88Pro 10» и «T95» для Android-стриминговых приставок показывает, что оба продолжают продаваться продавцами на Amazon.

Иск Google последовал вскоре после уведомления в июне 2025 года от Федеральное бюро расследований (FBI), которое предупредило, что киберпреступники получают несанкционированный доступ к домашним сетям, либо настраивая продукты с вредоносным ПО до покупки пользователя, либо заражая устройство при загрузке необходимых приложений с бэкдорами, обычно в процессе настройки.

«Как только эти скомпрометированные IoT-устройства подключены к домашним сетям, заражённые устройства становятся частью…