Projector Botnet：一个简单的家用设备如何被用于广告、数据和带宽

Source: Dev.to

调查是如何开始的

我在本地网络上运行 AdGuard Home 来监控并过滤所有已连接设备的 DNS 请求。某个晚上，在检查查询日志以排查网络卡顿时，我注意到了一些异常。

• 我的投影仪（标识为 192.168.100.3 – “Projector Android”）每小时发送 数百个 DNS 请求。
• 这些请求并非指向常见的流媒体服务，而是指向：
  • 色情网站
  • 成人广告网络
  • 可疑的跟踪域名
  • 点击欺诈基础设施
  • 与任何已安装应用无关的国外服务器

即使投影仪处于空闲状态，所有请求也全部来自该设备。

自动化色情与广告流量的模式

日志显示持续尝试访问以下域名：

• jizzbunker.com
• porntire.com
• yescams.com
• discretxxx.com
• hotmoza.tv
• bbs.airav.cc
• 各类 .xxx、.cc、.tv 成人网络

此类流量的特征

• 自动化 且 重复
• 全天候发生
• 与任何用户操作无关

AdGuard 的家长控制过滤器拦截了这些域名，但其背后的行为仍令人担忧。这并非偶然的浏览或用户误点，而是投影仪固件中内置的后台进程，在未获授权的情况下向广告网络和内容提供商“打电话”。

这意味着什么：固件层面的广告软件

廉价的 Android 投影仪往往运行高度修改的 Android 系统，其中包括：

• 预装的“免费电影”或“电视”应用
• 隐蔽的广告 SDK
• 强制的网页流量以生成广告展示
• 数据收集服务
• 远程指令与控制通道

在我的案例中，投影仪：

1. 向色情站点发起广告请求，为未知第三方创造收益。
2. 联系可能嵌入预装应用中的广告和跟踪网络。
3. 即使在未使用时也会产生后台流量，消耗带宽。
4. 可能通过可疑服务将本地网络暴露给外部访问。

当设备在后台自动发送色情流量时，这并非“漏洞”——而是 通过工厂层面隐藏的广告软件实现变现。

为什么这很危险

1. 带宽盗窃 – 设备悄悄消耗你的互联网连接用于未经请求的活动。
2. 暴露于不安全网络 – 恶意域名可能下载额外负载或链接到指令服务器。
3. 隐私侵害 – 你的网络活动会与从未产生的成人流量交织在一起。
4. 远程访问风险 – 某些廉价 Android 设备内置后门，允许外部控制。
5. 潜在法律风险 – 未过滤的流量可能被视为主动访问非法网站。

如何验证你的智能设备是否受影响

如果你拥有基于 Android 的投影仪、电视盒或预算流媒体设备，可以自行测试：

1. 安装 AdGuard Home、Pi‑hole 或类似的 DNS 过滤方案。
2. 让其在设备连接的情况下运行数小时。
3. 检查查询日志中是否出现异常模式：
   • 色情站点
   • 广告网络
   • 国外域名
   • 未知跟踪服务
4. 重启设备，观察流量是否立即恢复。
5. 执行出厂重置，检查行为是否仍然存在。
6. 移除或禁用可疑的预装应用。
7. 如可能，将设备隔离在单独的 VLAN 或访客网络中。

如果重置后日志仍然出现，说明该行为可能已写入固件。

制造商不告诉你的事

超低价的 Android 投影仪和电视盒往往来自通过预装以下内容来补贴硬件成本的工厂：

• 广告软件
• 点击欺诈机器人
• 跟踪框架
• 第三方收益生成服务

这种做法解释了为何某些设备比品牌产品便宜得多，但也将你的网络、数据和带宽置于风险之中。

消费者应采取的措施

在更严格的监管迫使 IoT 设备透明之前，消费者可以通过以下方式自我保护：

• 避免无品牌的 Android 投影仪和电视盒。
• 使用 DNS 过滤（AdGuard Home、Pi‑hole 等）。
• 将 IoT 设备隔离在独立网络中。
• 定期监控流量。
• 选择拥有审计固件的可信制造商。

你的投影仪绝不应该自行暗中浏览成人网站。

结论

本次调查揭示了一个隐藏在显而易见之处的令人不安的真相：我家中的一台智能设备不仅仅是投影电影——它还参与了一个地下的广告欺诈、带宽滥用和未经请求的成人流量生态系统。如果投影仪会出现这种情况，任何智能设备都有可能。消费者应获得透明度，在这种情况改变之前，提升意识是我们最有力的防御手段。