Zespół badawczy Satori Security Human Security poinformował o odrodzeniu Badbox Botnet, zasilanego obecnie milionem zainfekowanych urządzeń z Androidem. Ten wariant zdalnie sterowanego złośliwego oprogramowania Badbox został zidentyfikowany w różnych sprzętach poza marką, w tym tanim telefonie z Androidem, podłączonymi skrzynkami telewizyjnymi, tabletów i projektorami cyfrowymi.
Badbox Botnet Resurfaces, Infecting milion urządzeń z Androidem na całym świecie
Początkowy wybuch Badbox miał miejsce w 2023 r., W uwzględnieniu urządzeń telewizyjnych połączonych z Androidem z Androidem, które uczestniczyły w dużym schemacie reklam o nazwie Peachpit, z około 74 000 urządzeń zaangażowanych w pierwszą klaster. Badbox 2.0 jest ukierunkowany na urządzenia z projektem open source Android (AOSP) i teraz rozprzestrzeniło się na około miliona urządzeń w ponad 220 krajach.
Gavin Reid, Ciso of Human Security, wyjaśnił że operatorzy botnetu często manipulują łańcuchem dostaw, kupując niedrogi sprzęt, obalając go i osadzając złośliwy kod w oprogramowanie układowe lub popularne aplikacje, które są następnie sprzedawane konsumentom. Odkryto ponad 200 aplikacji zawierających złośliwe oprogramowanie powiązane z botnetem, hostowane głównie w sklepach z aplikacjami Androida zewnętrznego, często replikując uzasadnione aplikacje ze sklepu Google Play, aby oszukać użytkowników do ich pobrania.
„Schemat Badbox 2.0 jest większy i znacznie gorszy niż to, co widzieliśmy w 2023 r.”, Stwierdził Reid, podkreślając wzrost ukierunkowanych typów urządzeń i złożoność zastosowanych mechanizmów oszustwa. Sieć wyprodukowała ruch z 222 krajów i terytoriów od odrodzenia botnetu zeszłej jesieni.
Monetyzacja tego botnetu obejmuje ukryte widoki reklam i oszustwo związane z kliknięciem reklamy, skutecznie ukryte w celu uniknięcia wykrycia. Lindsay Kaye, wiceprezes ds. Wywiadu zagrożenia w zakresie bezpieczeństwa ludzkiego, zauważył, że operatorzy botnetu ukrywają swoje nieuczciwe intencje, przeplatając prawdziwy ruch z nielegalnymi działaniami zarażonych gospodarstw domowych, co czyni wykrywanie przez sieci reklamowe znacznie trudniejsze.
Oprócz oszustw reklamowych, złośliwe oprogramowanie stanowi również ryzyko, takie jak kradzież hasła i potencjał ataków odmowy usług. Na szczycie Badbox 2.0 zainfekował prawie milion urządzeń, ale liczba ta została zmniejszona o połowę z powodu wysiłków bezpieczeństwa ludzkiego, Google, Trend Micro i Shadowserver Foundation, którzy zidentyfikowali i zamknęli kilka serwerów dowodzenia i kontroli zarządzających botnetem.
Kaye wskazała, że złośliwe oprogramowanie zostało złapane w fazie rozwojowej, z wieloma modułami oznaczonymi „testem”. Mimo to istnieją obawy dotyczące możliwości ożywienia botnetu, podobnie jak wcześniejsze incydenty po odkryciu oryginalnej sieci Badbox. Urządzenia dotknięte Badbox 2.0 są produkowane przede wszystkim w Chinach, a niektóre podobno wykorzystywały się w szkołach publicznych w USA
Badbox Botnet zaraża ponad 192 000 urządzeń z Androidem na całym świecie
W grudniu 2024 r. Niemiec BSI zainicjował kampanię zakłóceń, która zatkała komunikację z ponad 30 000 zainfekowanych urządzeń do ich serwerów dowodzenia i kontroli, ale wkrótce odkryła kolejną większą grupę ponad 190 000 urządzeń. Operacja Badbox 2.0 wykorzystuje luki w łańcuchu dostaw, w których oparte urządzenia otrzymują złośliwy kod po aktywacji lub pobraniu z zewnętrznych rynków.
Zidentyfikowani aktorzy zagrożeń to Grupa Salestracker, Moyu Group, Lemon Group i LongTV, wskazując na wspólne wysiłki wśród odrębnych złośliwych podmiotów, łącząc zasoby w celu zwiększenia operacji oszustw.
Aby złagodzić zagrożenie, zaimplementowano środki zapobiegania oszustwom reklam, a Google Play Proces dodał możliwości wykrywania zachowań związanych z Badbox. Tym operatorom pozostaje trwałe zagrożenie, ponieważ prawdopodobnie dostosują się i odtworzą swoje strategie ataku.
Użytkownikom zaleca się zachowanie czujności, szczególnie w porównaniu z niektórymi złośliwymi aplikacjami, takimi jak „Zarabiaj dodatkowy dochód” i „kalkulator owulacji ciąży”, które zostały powiązane ze złośliwym oprogramowaniem. Instalowanie solidnego rozwiązania bezpieczeństwa może dalej chronić urządzenia z Androidem przed ryzykiem stwarzanym przez Badbox Botnet.
Wyróżniony obraz obrazu: Kerem Gülen/Ideogram
