Vermietet deine TV-Box dein Netzwerk?

Bist du sicher, dass deine Android-TV-Box nichts Böses im Schilde führt? Streaming-Abos sind teuer. Aber wenn du bei Abos zu sparen versuchst, kann dein Gerät zum Teil eines Botnetzes werden, die Box kann deine IP-Adressen vermieten und dir noch ganz andere Schwierigkeiten bereiten.

Schädliche TV-Boxen: Wie eine günstige „SuperBox“ dein Zuhause in einen Proxy-Knoten für Cyberkriminelle verwandelt

Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium … Eine durchschnittliche gesetzestreue Familie hat heutzutage fünf bis zehn Abos, nur um alle Lieblingsserien anzuschauen. Pro Monat kommen dafür schnell über hundert Euro zusammen. Kein Wunder also, dass in Social Media und auf Online-Markplätzen die Nachfrage nach den „Zauberboxen“ steigt, die Ende 2025 aufgetaucht sind: Android-gestützte TV-Boxen, die versprechen, Tausende von Kanälen sowie Abos für alle Streaming-Dienste freizuschalten – gegen einen einmaligen Kaufpreis und ohne weitere Abokosten.

Werbung für solche Geräte gibt es massenhaft bei TikTok und Instagram: Lächelnde Influencer zeigen das Unpacking von SuperBoxen, schließen sie an einen Fernseher an und stöbern ungestört durch die Kanäle. Das ist wohl der ultimative Life-Hack gegen Abo-Müdigkeit, oder? In Wirklichkeit ist es jedoch eine der einfachsten Methoden, um dein Heimnetzwerk zum Teil eines Botnetzes zu machen.

Screenshot eines TikTok-Videos, das eine SuperBox in Aktion zeigt

Ein TikTok-Werbevideo erklärt, wie toll es ist, wenn der Käse gratis ist du einfach alle Abos kündigen kannst

Was ist faul an diesen billigen TV-Boxen?

Es gab schon früher Geschichten über bösartige TV-Boxen, aber inzwischen hat ihre Vermarktung ein wirklich alarmierendes Ausmaß erreicht.

Ende 2025 untersuchten Analysten mehrere Modelle des populären SuperBox-Geräts, die im Einzelhandel und auf Online-Marktplätzen erhältlich sind. Die Ergebnisse waren besorgniserregend: Gleich nach dem Einschalten begannen die Geräte, die Server der chinesischen Messaging-App Tencent QQ sowie den Grass-Proxy-Dienst anzupingen – und vermieteten die Internetbandbreite des Besitzers quasi an Dritte.

In der Firmware entdeckten die Forscher Anwendungen, die für einen Mediaplayer absolut untypisch waren: einen Netzwerkscanner sowie Tools für die Datenverkehrsanalyse und das DNS-Hijacking. Das Gerät streamt also nicht nur raubkopierte Inhalte, sondern durchsucht das lokale Netzwerk auch nach anderen Zielen (z. B. industriellen SCADA-Schnittstellen) und ist bereit, bei DDoS-Angriffen mitzumischen. Zudem enthielten die SuperBoxen Ordner mit dem verräterischen Namen „secondstage“, ein klarer Hinweis auf mehrstufige Malware.

Im April 2026 gab es im Podcast „Darknet Diaries“ ein Interview mit dem Sicherheitsforscher D3ada55, der viele interessante Details über diese Boxen erzählte. Unter anderem, dass sie nach wie vor offiziell auf großen Plattformen wie Amazon, Walmart und Best Buy verkauft werden.

Chronik der Infektionen: von BADBOX bis Keenadu

SuperBox ist bei weitem nicht der einzige Fall, in dem Android-Geräte in Botnetz-Knoten umgewandelt oder bereits infiziert verkauft wurden. Hier ein Überblick über die neuesten Fälle:

  • BADBOX 2.0. Im Juli 2025 reichte Google eine Klage gegen die Betreiber eines Botnetzes ein, das mehr als 10 Millionen Android-Geräte kompromittiert hatte – hauptsächlich billige TV-Boxen, Tablets und Projektoren ohne Google Play Protect-Zertifizierung. Wie bereits erwähnt, hat BADBOX 2.0 es speziell auf TV-Boxen abgesehen und agiert gleichzeitig als Proxy-Netzwerk und Motor für Werbebetrug.
  • Kimwolf. Im Dezember 2025 entdeckte das Team von QiAnXin XLab ein DDoS-Botnetz, das rund 1,8 Millionen Android-Geräte „gekidnappt“ hatte. Zu der infizierten Hardware gehörten Modelle von unbedeutenden Herstellern mit klingenden Namen wie TV BOX, SuperBox, XBOX und SmartTV. Die Geografie der Infektionen war enorm, da kompromittierte Geräte weltweit ausgeliefert wurden. Am stärksten betroffenen waren Brasilien, Indien, die USA, Argentinien, Südafrika, die Philippinen und Mexiko.
  • Keenadu. Unsere Experten spürten diese Malware bereits im November 2025 in der Firmware fabrikneuer Geräte auf. Richtig bekannt wurde sie jedoch erst, als wir im Februar 2026 eine Studie darüber veröffentlichten. Keenadu gibt sich als legitime Systemkomponenten aus, bettet sich sogar in Apps zur Gesichtserkennung ein und gewährt Angreifern möglicherweise Zugriff auf biometrische Daten, Bankdaten und persönliche Nachrichten.

Alle diese Geschichten haben den gleichen Ursprung: Den Triada-Trojaner, der erstmals 2016 von unseren Forschern dokumentiert wurde und damals als „einer der modernsten mobilen Trojaner“ galt. In den letzten zehn Jahren hat er sich von einer gewöhnlichen Malware zu einer modularen Backdoor entwickelt, die im Lauf der Lieferkette direkt in die Firmware eingebaut wird.

So funktioniert das Infektionsschema

Die Hersteller billiger TV-Boxen sparen an allen Enden: bei der Google Play Protect-Zertifizierung, bei Firmware-Audits und bei Sicherheits-Updates. Viele dieser Geräte nutzen das Android Open Source Project ohne jegliche Sicherheitsgarantien. Irgendwo entlang der Lieferkette, sei es im Werk, bei einem Zwischen- oder Großhändler, wird eine Hintertür in das Firmware-Image injiziert. Unsere Experten vermuten, dass der Hersteller möglicherweise gar nichts davon ahnt.

Das Ausmaß der Infektion macht Millionen identischer Boxen zur perfekten Basis für ein Botnetz: Jedes kompromittierte Gerät besitzt eine einmalige IP-Adresse, die beliebig verliehen werden kann. Botnetzbetreiber wie Kimwolf monetarisieren dies nicht nur durch verteilte DDoS-Angriffe, sondern auch mit dem Weiterverkauf der Bandbreite infizierter Smart-TVs und Streaming-Boxen.

Was bedeutet das für dich?

Eine infizierte TV-Box steht direkt in deinem Wohnzimmer und ist mit deinem Heim-WLAN verbunden. Also kann sie Smartphones „sehen“, auf denen Banking-Apps ausgeführt werden, NAS-Geräte, auf denen Familienarchive gespeichert sind, IP-Kameras, intelligente Schlösser, geschäftliche Laptops und alle anderen Geräte, die mit deinem WLAN-Netzwerk verbunden sind.

Mit einem solchen Brückenkopf in deinem Heimnetzwerk können Angreifer unverschlüsselten Datenverkehr abfangen, DNS-Anfragen fälschen, Port-Untersuchungen durchführen und auf benachbarten Geräten nach Schwachstellen schnüffeln. Darüber hinaus können Hacker deine IP-Adresse für betrügerische Aktivitäten verwenden. Im besten Fall landet deine IP-Adresse irgendwann auf einer schwarzen Liste und legitime Dienste blockieren dich aufgrund verdächtiger Aktivitäten. Im schlimmsten Fall klopft die Polizei an deine Tür.

So erkennst du ein potenziell gefährliches Gadget

Sei vorsichtig, wenn ein Gerät:

  • unter einer No-Name-Marke wie T95, X96Q, MX10, TV BOX, SuperBox oder ähnlichen Namen verkauft wird
  • gegen eine Einmalzahlung lebenslangen kostenlosen Zugriff auf kostenpflichtige Premium-Dienste verspricht
  • bei der Erstkonfiguration dazu auffordert, Google Play Protect zu deaktivieren oder Drittanbieter-APKs zu installieren
  • keinerlei Play Protect-Zertifizierung besitzt
  • durch aggressive Spam-Kampagnen in Social Media beworben wird

So vermeidest du, zum Botnetz-Knoten zu werden

  • Kaufe eine zertifizierte TV-Box, die über Google Play Protect verfügt, oder kaufe ein Gerät direkt bei seriösen Telekommunikationsanbietern oder Internetprovidern.
  • Isoliere alle Smart Home-Geräte. Richte auf deinem Heimrouter ein separates WLAN-Netzwerk für TV-Boxen, Kameras, intelligente Lautsprecher, Staubsaugroboter und ähnliche Geräte ein. Smartphones, NAS-Geräte und Computer bleiben mit dem Hauptnetzwerk verbunden. Dadurch wird verhindert, dass sich Malware auf deine kritischen Geräte ausbreitet.
  • Aktualisiere regelmäßig die Firmware auf allen deinen Geräten. Den Router nicht vergessen – er ist ein weiteres anfälliges Glied in der Kette.
  • Entferne von deiner Android-TV-Box alle Programme, die du nicht selbst installiert hast. Insbesondere alternative App-Stores, WLAN-Booster und „Systembereiniger“.
  • Überwache deinen Datenverkehr. Moderne Router und Kaspersky Premium können anzeigen, welche Geräte welche Verbindungen herstellen. Häufige Verbindungen von einem Mediaplayer zu Servern in China sind ein eindeutiges Warnsignal.
  • Installiere Kaspersky Premium auf allen deinen Geräten. – Es schützt vor Trojanern und blockiert Phishing-Seiten, über die infizierte APK-Dateien häufig verbreitet werden.
  • Deaktiviere Google Play Protect nicht und installiere keine APKs aus zwielichtigen Quellen. – Dies ist nach wie vor der primäre Infektionsvektor, der die offiziellen App-Stores umgeht.
  • Im Zweifelsfall: TV-Box zurückschicken. Ein billiges Streaming-Gerät ist es nicht wert, deine biometrischen Daten, Bankdaten oder den Ruf deiner IP-Adresse aufs Spiel zu setzen.

Möchtest du wissen, wie du deine Smart Home-Geräte noch schützen kannst? Mehr dazu in unseren Artikeln zu diesem:

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?

  • Für alle anderen Länder