{"id":23968,"date":"2026-06-04T11:03:52","date_gmt":"2026-06-04T09:03:52","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23968"},"modified":"2026-06-04T11:03:52","modified_gmt":"2026-06-04T09:03:52","slug":"android-tv-botnet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/android-tv-botnet\/23968\/","title":{"rendered":"Votre d\u00e9codeur TV met-il votre r\u00e9seau \u00e0 la disposition d&rsquo;autres utilisateurs ?"},"content":{"rendered":"<p>Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium\u2026 Aujourd\u2019hui, une famille lambda <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-manage-subscriptions-safely\/55776\/\" target=\"_blank\" rel=\"noopener nofollow\">paie en moyenne entre cinq et dix abonnements<\/a> rien que pour regarder ses s\u00e9ries pr\u00e9f\u00e9r\u00e9es, la facture mensuelle d\u00e9passant facilement la barre des cent euros. Il n\u2019est donc pas surprenant que les r\u00e9seaux sociaux et les plateformes de vente en ligne connaissent une forte hausse de la demande pour ces \u00ab\u00a0box magiques\u00a0\u00bb apparues fin 2025 : des d\u00e9codeurs TV fonctionnant sous Android qui promettent de donner acc\u00e8s \u00e0 des milliers de cha\u00eenes et \u00e0 tous les services de streaming sans abonnement, moyennant un achat unique.<\/p>\n<div id=\"attachment_23969\" style=\"width: 2653px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2026\/06\/04105454\/android-tv-botnet-01.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-23969\" class=\"wp-image-23969 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2026\/06\/04105454\/android-tv-botnet-01.jpg\" alt=\"Capture d'\u00e9cran d'une vid\u00e9o TikTok pr\u00e9sentant une SuperBox\" width=\"2643\" height=\"1968\"><\/a><p id=\"caption-attachment-23969\" class=\"wp-caption-text\">Une vid\u00e9o promotionnelle sur TikTok qui explique \u00e0 quel point c\u2019est g\u00e9nial quand <s>le fromage est gratuit<\/s> vous pouvez simplement r\u00e9silier tous vos abonnements<\/p><\/div>\n<p>Les publicit\u00e9s pour ces appareils inondent TikTok et Instagram\u00a0: des influenceurs souriants d\u00e9ballent les SuperBox, les branchent \u00e0 un t\u00e9l\u00e9viseur et zappent sans fin d\u2019une cha\u00eene \u00e0 l\u2019autre. On dirait bien l\u2019astuce ultime pour lutter contre la saturation des abonnements, non\u00a0? En r\u00e9alit\u00e9, c\u2019est l\u2019un des moyens les plus simples d\u2019introduire un botnet dans votre r\u00e9seau domestique.<\/p>\n<h2>Que reproche-t-on \u00e0 ces box TV bon march\u00e9\u00a0?<\/h2>\n<p>On a d\u00e9j\u00e0 entendu parler de box TV malveillantes, mais aujourd\u2019hui, leur commercialisation a pris des proportions v\u00e9ritablement alarmantes.<\/p>\n<p>\u00c0 la fin de l\u2019ann\u00e9e\u00a02025, des analystes <a href=\"https:\/\/www.foxnews.com\/tech\/why-your-android-tv-box-may-secretly-part-botnet\" target=\"_blank\" rel=\"noopener nofollow\">ont examin\u00e9<\/a> plusieurs mod\u00e8les du c\u00e9l\u00e8bre appareil SuperBox, disponible dans les grandes surfaces et sur les sites de vente en ligne. Les conclusions \u00e9taient extr\u00eamement pr\u00e9occupantes\u00a0: d\u00e8s leur mise sous tension, les appareils commen\u00e7aient \u00e0 envoyer des requ\u00eates aux serveurs de l\u2019application de messagerie chinoise Tencent QQ, ainsi qu\u2019au service proxy Grass, louant ainsi la bande passante Internet de leur propri\u00e9taire \u00e0 des tiers.<\/p>\n<p>Au sein du micrologiciel, les chercheurs ont d\u00e9couvert des applications qui n\u2019ont absolument rien \u00e0 voir avec un lecteur multim\u00e9dia : un scanner de r\u00e9seau, un analyseur de trafic et des outils permettant de d\u00e9tourner le DNS. L\u2019appareil en question ne se contente donc pas de diffuser du contenu pirat\u00e9, mais analyse \u00e9galement le r\u00e9seau local \u00e0 la recherche d\u2019autres cibles (notamment des interfaces SCADA industrielles) et se tient pr\u00eat \u00e0 participer \u00e0 des attaques DDoS. On a \u00e9galement d\u00e9couvert que les SuperBox contenaient des dossiers portant le nom r\u00e9v\u00e9lateur \u00ab\u00a0secondstage\u00a0\u00bb, ce qui est un indice classique de la pr\u00e9sence d\u2019un logiciel malveillant \u00e0 plusieurs phases.<\/p>\n<p>Plus r\u00e9cemment, en avril 2026, le podcast \u00ab\u00a0Darknet Diaries\u00a0\u00bb a diffus\u00e9 une <a href=\"https:\/\/darknetdiaries.com\/episode\/172\/\" target=\"_blank\" rel=\"noopener nofollow\">interview<\/a> d\u2019un chercheur en s\u00e9curit\u00e9 connu sous le pseudonyme de D3ada55, qui a r\u00e9v\u00e9l\u00e9 de nombreux d\u00e9tails intrigants sur ces box, notamment le fait qu\u2019elles \u00e9taient toujours vendues librement sur de grandes plateformes comme Amazon, Walmart et Best Buy.<\/p>\n<h2>Les chroniques de l\u2019infection\u00a0: de BADBOX \u00e0 Keenadu<\/h2>\n<p>L\u2019affaire SuperBox est loin d\u2019\u00eatre le seul cas o\u00f9 des appareils Android ont \u00e9t\u00e9 transform\u00e9s en n\u0153uds de botnet, ou vendus infect\u00e9s d\u00e8s leur sortie d\u2019usine. Voici un aper\u00e7u des cas les plus r\u00e9cents\u00a0:<\/p>\n<ul>\n<li><strong>BADBOX\u00a02.0.<\/strong> En juillet\u00a02025, Google a intent\u00e9 une action en justice contre les exploitants d\u2019un botnet qui avait infect\u00e9 plus de 10\u00a0millions d\u2019appareils Android, principalement des box TV, des tablettes et des projecteurs bon march\u00e9 ne disposant pas de la certification Google Play Protect. Comme nous l\u2019avons <a href=\"https:\/\/www.kaspersky.fr\/blog\/growing-2026-android-threats-and-protection\/23558\/\" target=\"_blank\" rel=\"noopener\">mentionn\u00e9 pr\u00e9c\u00e9demment<\/a>, BADBOX\u00a02.0 cible sp\u00e9cifiquement les box TV, fonctionnant \u00e0 la fois comme un r\u00e9seau proxy et un moteur de fraude publicitaire.<\/li>\n<li><strong>Kimwolf<\/strong>. En d\u00e9cembre 2025, l\u2019\u00e9quipe QiAnXin XLab <a href=\"https:\/\/blog.xlab.qianxin.com\/kimwolf-botnet-en\/\" target=\"_blank\" rel=\"noopener nofollow\">a r\u00e9v\u00e9l\u00e9<\/a> l\u2019existence d\u2019un botnet DDoS qui avait pris le contr\u00f4le d\u2019environ 1,8\u00a0million d\u2019appareils Android. Le mat\u00e9riel infect\u00e9 comprenait des mod\u00e8les g\u00e9n\u00e9riques provenant de fabricants sans marque, portant des noms tr\u00e8s connus, tels que TV BOX, SuperBox, XBOX, SmartTV et autres. L\u2019ampleur de l\u2019infection \u00e9tait consid\u00e9rable, des appareils infect\u00e9s ayant \u00e9t\u00e9 exp\u00e9di\u00e9s dans le monde entier. Parmi les pays les plus touch\u00e9s figuraient le Br\u00e9sil, l\u2019Inde, les \u00c9tats-Unis, l\u2019Argentine, l\u2019Afrique du Sud, les Philippines et le Mexique.<\/li>\n<li><strong>Keenadu<\/strong>. Nos experts ont d\u00e9couvert ce logiciel malveillant dissimul\u00e9 dans le micrologiciel d\u2019appareils flambant neufs d\u00e8s novembre\u00a02025, mais ce n\u2019est qu\u2019apr\u00e8s la <a href=\"https:\/\/securelist.com\/keenadu-android-backdoor\/118913\/\" target=\"_blank\" rel=\"noopener\">publication de notre rapport en f\u00e9vrier\u00a02026<\/a> qu\u2019il a vraiment retenu l\u2019attention. Keenadu se fait passer pour un composant syst\u00e8me l\u00e9gitime et s\u2019int\u00e8gre m\u00eame dans les applications de d\u00e9verrouillage par reconnaissance faciale, ce qui pourrait permettre aux pirates d\u2019acc\u00e9der \u00e0 des donn\u00e9es biom\u00e9triques, bancaires et \u00e0 des messages personnels.<\/li>\n<\/ul>\n<p>Toutes ces histoires partagent la m\u00eame origine\u00a0: le cheval de Troie Triada, <a href=\"https:\/\/www.kaspersky.com\/blog\/triada-trojan\/11481\/\" target=\"_blank\" rel=\"noopener nofollow\">document\u00e9 pour la premi\u00e8re fois<\/a> par nos chercheurs en 2016 et surnomm\u00e9 \u00e0 l\u2019\u00e9poque \u00ab\u00a0l\u2019un des chevaux de Troie mobiles les plus avanc\u00e9s\u00a0\u00bb. Au cours de la derni\u00e8re d\u00e9cennie, ce logiciel malveillant <a href=\"https:\/\/www.wired.com\/story\/android-tv-streaming-boxes-china-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">est pass\u00e9<\/a> d\u2019un simple programme malveillant \u00e0 une porte d\u00e9rob\u00e9e modulaire <a href=\"https:\/\/www.kaspersky.fr\/blog\/trojan-in-fake-smartphones\/22745\/\" target=\"_blank\" rel=\"noopener\">int\u00e9gr\u00e9e<\/a> directement dans le micrologiciel au moment de la fabrication.<\/p>\n<h2>M\u00e9canisme de l\u2019infection<\/h2>\n<p>Les fabricants de box TV bon march\u00e9 l\u00e9sinent sur tout\u00a0: la certification Google Play Protect, les audits de micrologiciels et les mises \u00e0 jour de s\u00e9curit\u00e9. Bon nombre de ces appareils fonctionnent sous Android Open Source Project <a href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2025\/03\/android-botnet-badbox-largely-disrupted\" target=\"_blank\" rel=\"noopener nofollow\">sans aucune garantie de s\u00e9curit\u00e9<\/a>. \u00c0 un moment donn\u00e9 de la cha\u00eene d\u2019approvisionnement, que ce soit en usine, aupr\u00e8s d\u2019un interm\u00e9diaire ou chez un distributeur, une porte d\u00e9rob\u00e9e est introduite dans l\u2019image du micrologiciel. Nos experts soup\u00e7onnent que le fabricant lui-m\u00eame n\u2019ait peut-\u00eatre m\u00eame pas conscience de cette compromission.<\/p>\n<p>L\u2019ampleur m\u00eame de l\u2019infection transforme des millions d\u2019appareils identiques en une base id\u00e9ale pour un botnet\u00a0: chaque appareil pirat\u00e9 correspond \u00e0 une adresse IP unique qui peut \u00eatre mise \u00e0 la disposition de n\u2019importe qui. Les op\u00e9rateurs de botnets comme Kimwolf tirent profit de cette situation non seulement en lan\u00e7ant des attaques DDoS, mais aussi en revendant la bande passante des t\u00e9l\u00e9viseurs connect\u00e9s et des box de streaming infect\u00e9s.<\/p>\n<h2>Ce que cela signifie pour vous<\/h2>\n<p>Une box TV infect\u00e9e se trouve dans votre salon, connect\u00e9e au Wi-Fi de votre domicile. Cela signifie qu\u2019elle peut d\u00e9tecter les smartphones sur lesquels sont install\u00e9es des applications bancaires, les p\u00e9riph\u00e9riques de stockage en r\u00e9seau (NAS) contenant les archives familiales, les cam\u00e9ras IP, les serrures intelligentes, les ordinateurs portables professionnels et tout autre appareil connect\u00e9 \u00e0 votre r\u00e9seau Wi-Fi.<\/p>\n<p>En s\u2019introduisant ainsi dans votre r\u00e9seau domestique, un pirate peut intercepter le trafic non chiffr\u00e9, usurper des requ\u00eates DNS, analyser les ports et rechercher des failles sur les appareils connect\u00e9s \u00e0 proximit\u00e9. Il peut \u00e9galement utiliser votre adresse IP \u00e0 des fins frauduleuses. Au mieux, votre adresse IP finira par \u00eatre mise sur liste noire et les services l\u00e9gitimes commenceront \u00e0 vous bloquer en raison d\u2019activit\u00e9s suspectes\u00a0; au pire, les forces de l\u2019ordre pourraient venir frapper \u00e0 votre porte.<\/p>\n<h2>Comment d\u00e9tecter un gadget potentiellement dangereux<\/h2>\n<p>Vous devriez vous m\u00e9fier si un appareil\u00a0:<\/p>\n<ul>\n<li>est vendu sous une marque g\u00e9n\u00e9rique telle que T95, X96Q, MX10, TV BOX, SuperBox ou toute autre marque similaire\u00a0;<\/li>\n<li>promet un acc\u00e8s gratuit \u00e0 vie \u00e0 des services premium payants en \u00e9change d\u2019un paiement unique\u00a0;<\/li>\n<li>vous demande de d\u00e9sactiver Google Play Protect ou d\u2019installer des fichiers APK tiers lors de la configuration initiale\u00a0;<\/li>\n<li>ne dispose absolument pas de la certification Play Protect\u00a0;<\/li>\n<li>fait l\u2019objet de campagnes de spam agressives sur les r\u00e9seaux sociaux.<\/li>\n<\/ul>\n<h2>Comment \u00e9viter d\u2019h\u00e9berger un n\u0153ud de botnet<\/h2>\n<ul>\n<li>Achetez des box TV certifi\u00e9es \u00e9quip\u00e9es de <a href=\"https:\/\/www.android.com\/certified\/partners\/\" target=\"_blank\" rel=\"noopener nofollow\">Google Play Protect<\/a>, ou procurez-vous vos appareils directement aupr\u00e8s d\u2019op\u00e9rateurs de t\u00e9l\u00e9communications et de fournisseurs d\u2019acc\u00e8s \u00e0 Internet r\u00e9put\u00e9s.<\/li>\n<li>Isolez tous les appareils connect\u00e9s de la maison. Configurez un r\u00e9seau Wi-Fi distinct sur votre routeur domestique pour les box TV, les cam\u00e9ras, les enceintes connect\u00e9es, les robots aspirateurs et autres appareils similaires, tout en laissant les smartphones, les serveurs NAS et les ordinateurs sur le r\u00e9seau principal. Vous \u00e9viterez ainsi que votre mat\u00e9riel principal ne soit infect\u00e9 par des logiciels malveillants.<\/li>\n<li>Mettez r\u00e9guli\u00e8rement \u00e0 jour le micrologiciel de tous vos appareils, et n\u2019oubliez pas votre routeur\u00a0: lui aussi est un maillon vuln\u00e9rable de la cha\u00eene.<\/li>\n<li>Supprimez de votre box Android TV toutes les applications que vous n\u2019avez pas install\u00e9es vous-m\u00eame, notamment les boutiques d\u2019applications alternatives, les \u00ab\u00a0amplificateurs\u00a0\u00bb Wi-Fi et les \u00ab\u00a0nettoyeurs de syst\u00e8me\u00a0\u00bb.<\/li>\n<li>Surveillez votre trafic. Les routeurs modernes et <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0permettent d\u2019afficher quels appareils se connectent \u00e0 quel endroit. Des connexions fr\u00e9quentes entre un lecteur multim\u00e9dia et des serveurs situ\u00e9s en Chine sont un s\u00e9rieux indicateur de risque de s\u00e9curit\u00e9.<\/li>\n<li>Installez <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0sur tous vos appareils\u00a0: cette solution vous prot\u00e8ge contre les chevaux de Troie et bloque les pages de phishing souvent utilis\u00e9es pour diffuser des fichiers APK infect\u00e9s.<\/li>\n<li>Ne d\u00e9sactivez pas Google Play Protect et \u00e9vitez d\u2019installer des fichiers APK provenant de sources douteuses\u00a0: c\u2019est le principal vecteur d\u2019infection qui contourne la boutique d\u2019applications officielle.<\/li>\n<li>En cas de doute, retournez la box TV. Un appareil de streaming bon march\u00e9 ne vaut pas la peine de mettre en p\u00e9ril vos donn\u00e9es biom\u00e9triques, vos informations bancaires ou la r\u00e9putation de votre adresse IP.<\/li>\n<\/ul>\n<blockquote><p>Vous voulez en savoir plus sur les diff\u00e9rentes fa\u00e7ons de prot\u00e9ger vos appareils connect\u00e9s\u00a0? Lisez nos autres articles sur le sujet\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/smart-speaker-tv-smartphone-eavesdropping\/21386\/\" target=\"_blank\" rel=\"noopener\">Votre t\u00e9l\u00e9viseur, votre smartphone et vos enceintes connect\u00e9es vous \u00e9coutent-ils\u00a0?<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/save-your-home-router-from-apt-residential-proxy\/22983\/\" target=\"_blank\" rel=\"noopener\">Votre routeur travaille-t-il secr\u00e8tement pour des services de renseignement \u00e9trangers\u00a0?<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/vulnerability-in-smart-home-control-app\/22820\/\" target=\"_blank\" rel=\"noopener\">Des maisons pas si intelligentes<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/smart-home-zigbee-thread-matter-advice\/20233\/\" target=\"_blank\" rel=\"noopener\">Comment connecter votre maison<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/how-to-secure-smart-home\/20319\/\" target=\"_blank\" rel=\"noopener\">Comment prot\u00e9ger votre maison connect\u00e9e<\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Votre box Android TV est-elle vraiment s\u00e9curis\u00e9e ? Faire des \u00e9conomies sur vos abonnements de streaming pourrait faire de votre appareil un maillon d&rsquo;un botnet, mettre vos adresses IP \u00e0 la disposition de tiers et vous causer d&rsquo;autres s\u00e9rieux soucis.<\/p>\n","protected":false},"author":2775,"featured_media":23971,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[59,4606,252,522,4443,16,552,4518,4194,204,61,338,4120],"class_list":{"0":"post-23968","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-attaques-ddos","10":"tag-botnets","11":"tag-chevaux-de-troie","12":"tag-contrefacons","13":"tag-google","14":"tag-internet-des-objets","15":"tag-kaspersky-for-android","16":"tag-maison-connectee","17":"tag-menaces","18":"tag-securite","19":"tag-smart-tv","20":"tag-triada"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/android-tv-botnet\/23968\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/android-tv-botnet\/30731\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/android-tv-botnet\/25779\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/android-tv-botnet\/30578\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/android-tv-botnet\/32149\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/android-tv-botnet\/41888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/android-tv-botnet\/55799\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/android-tv-botnet\/25025\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/android-tv-botnet\/33541\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/android-tv-botnet\/30672\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/android-tv-botnet\/36237\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/android-tv-botnet\/36130\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23968","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2775"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23968"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23968\/revisions"}],"predecessor-version":[{"id":23972,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23968\/revisions\/23972"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23971"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23968"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23968"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23968"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}