Botnet BADBOX zainfekował obecnie ponad 192 000 urządzeń z systemem Android na całym świecie, rozszerzając swój zasięg poza tanią elektronikę i obejmując dobrze znane marki, takie jak Yandex i Hisense. To złośliwe oprogramowanie stwarza znaczne ryzyko, ponieważ jest preinstalowane na urządzeniach podczas produkcji.
Botnet BADBOX atakuje przede wszystkim Systemy operacyjne Android i wykazał znaczną odporność, a najnowsza telemetria wykazała, że wpływa on na szerszą gamę urządzeń, niż wcześniej zgłaszano. Po aktywacji zainfekowane urządzenia łączą się z serwerem dowodzenia i kontroli (C2), zapewniając atakującym dostęp do sieci lokalnej. Szkodnik może przechwytywać szczegóły uwierzytelniania dwuskładnikowego i instalować kolejne złośliwe oprogramowanie. Uważa się, że wektor infekcji obejmuje ataki w łańcuchu dostaw, w których złośliwe oprogramowanie jest osadzone na poziomie oprogramowania sprzętowego, co komplikuje wysiłki w zakresie usuwania, ponieważ znajduje się ono na partycji, której nie można zapisać.
Zasięg botnetu BADBOX
BitSight sugerują, że około 160 000 zainfekowanych urządzeń należy do unikalnych, niespotykanych wcześniej modeli, co wpływa na produkty z najwyższej półki, takie jak telewizor Yandex 4K QLED Smart TV i smartfon T963 Hisense. Powszechny charakter tej infekcji uwypukla luki w zabezpieczeniach różnych kategorii urządzeń, pokazując, że nawet zaufane marki nie są na nią odporne.
Zaatakowane urządzenia służą wielu złośliwym celom. Mogą działać jako domowe serwery proxy dla ruchu internetowego, przeprowadzać nieautoryzowane zdalne instalacje, a nawet tworzyć konta w celu rozpowszechniania dezinformacji. Działania te przyczyniają się do cyklu zysków finansowych dla cyberprzestępców, wykorzystując zainfekowane urządzenia do oszustw reklamowych lub podobnych przedsięwzięć przestępczych.
Wysoka częstość występowania infekcji obejmuje wiele krajów, przy czym znaczną liczbę odnotowano w Rosji, Chinach, Indiach, Białorusi, Brazylii i Ukrainie. Władze niemieckie próbowały zakłócić te operacje, zatapiając jeden z serwerów dowodzenia i kontroli, co miało wpływ na około 30 000 urządzeń składających się głównie z cyfrowych ramek do zdjęć i urządzeń do strumieniowego przesyłania multimediów z systemem Android. Wydaje się jednak, że ta interwencja odniosła ograniczony sukces, ponieważ ogólna telemetria BADBOX pokazuje ciągły wzrost i aktywność.
Rosyjscy hakerzy Secret Blizzard wykorzystują złośliwe oprogramowanie do atakowania sił ukraińskich
Chociaż podjęto wysiłki, aby rozwiązać ten problem, łącznie z ostrzeżeniami wydanymi przez władze takie jak niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) w sprawie zagrożeń związanych z nieaktualnym oprogramowaniem sprzętowym i preinstalowanym złośliwym oprogramowaniem, wyzwanie dla producentów i sprzedawców detalicznych pozostaje wyzwaniem. Za zapewnienie bezpieczeństwa urządzeń, zanim dotrą do konsumentów, ponosimy wspólną odpowiedzialność.
Konsumenci muszą zachować szczególną czujność przy zakupie urządzeń, szczególnie za pośrednictwem popularnych platform internetowych, takich jak Amazon, eBay i AliExpress, gdzie zwiększa się ryzyko napotkania zainfekowanych produktów. BSI podkreśla, że użytkownicy powinni upewnić się, że ich urządzenia otrzymują najnowsze aktualizacje oprogramowania sprzętowego. Ponadto odłączenie urządzeń od Internetu, gdy nie są używane, może zminimalizować narażenie na ciągłe zagrożenia.
Inną niepokojącą oznaką infekcji BADBOX są zauważalne spadki wydajności urządzenia, przegrzanie i nietypowy ruch sieciowy. Wskazówki ekspertów zalecają użytkownikom aktywne monitorowanie tych symptomów, które mogą wskazywać na podstawową aktywność złośliwego oprogramowania, która może naruszyć bezpieczeństwo danych osobowych i funkcjonalności urządzenia.
Badania przeprowadzone przez firmę BitSight zajmującą się bezpieczeństwem cybernetycznym pogłębiły wiedzę na temat transmisji i trwałości BADBOX, obserwując, że ponad 160 000 unikalnych adresów IP próbuje nawiązać kontakt z domenami kontrolnymi w ciągu zaledwie jednego dnia. Taki wzrost wskazuje na zdolność szkodliwego oprogramowania do dostosowywania się i rozszerzania swoich roszczeń na szerszy ekosystem urządzeń.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
