Покупатель подключил проектор за 35 долларов с AliExpress к Wi-Fi, и почти мгновенно активировался Pi-hole. Устройство само звонило домой, не имея доступа к браузеру или установке приложений. Такие бюджетные модели, как Magcubic HY300 Pro+, заполняют TikTok, Amazon, Temu и AliExpress. Сообщество Reddit сомневается в их надёжности из-за плохого качества картинки и поломок. Автор приобрёл устройство, ожидая вредоносного ПО, подобного тому, что часто находят в китайских ТВ-боксах. Запуск системы оказался более профессиональным, чем ожидалось: на устройстве Android 11 (API 30), сборочная версия без тестовых ключей и без корневого доступа сразу после покупки. Однако скрытая небезопасность проявилась сразу: на устройстве от компании Hotack (бренд Magcubic) обнаружены пакеты com.htc., что является ложной маской.
Используя adb и jadx, автор выключил пять подозрительных системных приложений через root-доступ, после чего DNS-запросы прекратились. Это подтвердило их роль, но интерес к тому, что они делают, остался. Код внутри com.hotack.silentsdk был сильно зашифрован и обфусцирован (классы типа a.java), но Claude Code, автоматизированный агент, смог написать скрипт для автоматического расшифрования зашитых XOR-зашифрованных строк. Это расчлонило протокол C2 и выявило главную команду api.pixelpioneerss.com. Обфускация не была защитой, а лишь задерживала поверхностный анализ.
Дальнейшее исследование показало, что устройство является полноценным удалённым доступным трояном (RAT) с системными привилегиями (android.uid.system) и защищённым от остановки сервисом. Оно шло на серверы типа bur.thedynamicleap.com каждые 15-30 минут. Claude Code создал клиента, который успешно взаимодействовал с сервером и скачал второй уровень нагрузки. Ситуация стала ещё серьёзнее: домен usmyip.kkoip.com, который появился в логах Pi-hole, оказался частью сети прокси Kookeey из Китая. Вредоносное ПО продавало IP-адрес покупателя в базу резидентских прокси, позволяя мошенникам маскировать трафик под адрес Стэнфорда.
Малвари выживал после перезагрузки и даже отключал Play Protect при первом запуске. Фирмвер был собран на серверах Dell PowerEdge с использованием SDK Allwinner, что говорит об организованном промышленном уровне атаки. Ключ к успеху — использование Claude Code, который самостоятельно провёл развёрнутый анализ, не требуя пошаговых инструкций. Для владельцев таких устройств рекомендуется блокировать домены C2 на уровне роутера и выключать пакеты вроде com.hotack.silentsdk. Сброс до заводских настроек опасен, так как вредоносное ПО вшито в прошивку. Это лишь один из тысяч вариантов от одного производителя, которые сейчас тихо работают в миллионах спален.