A equipe de pesquisa Satori da Segurança Humana relatou o ressurgimento da botnet Badbox, agora alimentada por até um milhão de dispositivos Android infectados. Essa variante do malware BadBox controlável remoto foi identificado em vários hardware fora da marca, incluindo telefones Android baratos, caixas de TV conectadas, tablets e projetores digitais.
Badbox botnet ressurge, infectando um milhão de dispositivos Android em todo o mundo
O surto inicial do BADBox ocorreu em 2023, envolvendo dispositivos de TV conectados à Internet de Android fora de marca que participaram de um grande esquema de fráudio de anúncios chamado Peachpit, com aproximadamente 74.000 dispositivos envolvidos no primeiro cluster. O Badbox 2.0 tem como alvo os dispositivos que executam o Android Open Source Project (AOSP) e agora se espalharam para cerca de um milhão de dispositivos em mais de 220 países.
Gavin Reid, ciso de segurança humana, explicado O fato de os operadores da botnet frequentemente adulterar a cadeia de suprimentos comprando hardware barato, rebocando -o e incorporando código malicioso em firmware ou aplicativos populares, que são vendidos aos consumidores. Mais de 200 aplicativos contendo malware associados ao botnet foram descobertos, hospedados principalmente em lojas de aplicativos Android de terceiros, geralmente replicando aplicativos legítimos da Google Play Store para enganar os usuários para baixá-los.
“O esquema Badbox 2.0 é maior e muito pior do que o que vimos em 2023”, afirmou Reid, destacando o aumento dos tipos de dispositivos direcionados e a complexidade dos mecanismos de fraude empregados. A rede produziu tráfego de 222 países e territórios desde o ressurgimento da botnet no outono passado.
A monetização desta botnet envolve vistas ocultas de anúncios e fraude de cliques de anúncios, disfarçada efetivamente para evitar a detecção. Lindsay Kaye, vice -presidente de inteligência de ameaças em segurança humana, observou que os operadores da botnet ocultam suas intenções fraudulentas, intercalando o tráfego real com atividades ilícitas de famílias infectadas, tornando a detecção por redes de anúncios significativamente mais desafiadoras.
Além da fraude de anúncios, o malware também representa riscos como roubo de senha e potencial para ataques de negação de serviço. No seu pico, o BadBox 2.0 infectou quase um milhão de dispositivos, mas esse número foi reduzido pela metade devido a esforços de segurança humana, Google, Trend Micro e Shadowsserver Foundation, que identificaram e fecharam vários servidores de comando e controle que gerenciam o botnet.
Kaye indicou que o malware foi capturado em sua fase de desenvolvimento, com muitos módulos rotulados como “teste”. Apesar disso, há preocupações sobre a possibilidade do renascimento da botnet, semelhante aos incidentes anteriores após a descoberta da rede Badbox original. Os dispositivos afetados pelo BadBox 2.0 são fabricados principalmente na China, com alguns supostamente usados em escolas públicas nos EUA
Badbox botnet infecta mais de 192.000 dispositivos Android em todo o mundo
Em dezembro de 2024, o BSI da Alemanha iniciou uma campanha de interrupção que afundou as comunicações de mais de 30.000 dispositivos infectados para seus servidores de comando e controle, mas logo descobriram outro grupo maior de mais de 190.000 dispositivos. A operação Badbox 2.0 explora vulnerabilidades da cadeia de suprimentos, onde os dispositivos de backdoord recebem código malicioso após a ativação ou download de mercados de terceiros.
Os atores de ameaças identificados incluem o Salestracker Group, o Moyu Group, o Lemon Group e o LongTV, indicando esforços colaborativos entre atores maliciosos distintos, reunindo recursos para melhorar a operação de fraude.
Para mitigar a ameaça, foram implementadas medidas de prevenção de fraudes de anúncios e os recursos de detecção adicionais de detecção de proteção do Google para comportamentos associados ao Badbox. Ainda existe uma ameaça persistente desses operadores, pois é provável que eles adaptem e reconstruam suas estratégias de ataque.
Os usuários são aconselhados a permanecer vigilantes, especialmente contra certas aplicações maliciosas, como ‘Ganhar renda extra’ e ‘calculadora de ovulação da gravidez’, que foram vinculadas ao malware. A instalação de uma solução de segurança robusta pode proteger ainda mais os dispositivos Android dos riscos representados pelo Badbox Botnet.
Crédito da imagem em destaque: Kerem Gülen/ideograma
