Il team di ricerca Satori di Human Security ha riportato la rinascita della botnet Badbox, ora alimentata da un milione di dispositivi Android infetti. Questa variante del malware Badbox controllabile a telecomando è stata identificata in vari hardware fuori marchio, tra cui telefoni Android a basso costo, scatole TV connesse, tablet e proiettori digitali.
Badbox Botnet Resurfaces, infettando un milione di dispositivi Android in tutto il mondo
Lo scoppio iniziale di Badbox si è verificato nel 2023, che ha coinvolto dispositivi TV con alimentazione su Internet off-brand che hanno partecipato a un ampio schema di frode di ad-frode chiamato Peachpit, con circa 74.000 dispositivi coinvolti nel primo cluster. Badbox 2.0 target dispositivi che eseguono il progetto open source Android (AOSP) e ora si è diffuso a circa un milione di dispositivi in oltre 220 paesi.
Gavin Reid, ciso della sicurezza umana, spiegato Che gli operatori della botnet spesso mandano la protezione della catena di approvvigionamento acquistando hardware economico, ribadcandolo e incorporando codice dannoso in firmware o app popolari, che vengono poi vendute ai consumatori. Sono state scoperte più di 200 app contenenti malware associati alla botnet, ospitati principalmente su app store Android di terze parti, replicando spesso applicazioni legittime dal Google Play Store per ingannare gli utenti nel scaricarli.
“Lo schema Badbox 2.0 è più grande e molto peggio di quello che abbiamo visto nel 2023”, ha dichiarato Reid, evidenziando l’aumento dei tipi di dispositivi mirati e la complessità dei meccanismi di frode impiegati. La rete ha prodotto traffico provenienti da 222 paesi e territori dalla rinascita della botnet lo scorso autunno.
La monetizzazione di questa botnet prevede visualizzazioni di annunci nascosti e frodi pubblicitarie, mascherata efficacemente per sfuggire al rilevamento. Lindsay Kaye, vicepresidente dell’intelligence sulle minacce presso la sicurezza umana, ha osservato che gli operatori della botnet nascondono le loro intenzioni fraudolente intervallando il traffico reale con attività illecite dalle famiglie infette, rendendo il rilevamento da parte delle reti pubblicitarie significativamente più impegnative.
Oltre alla frode AD, il malware pone anche rischi come il furto di password e il potenziale per gli attacchi di negazione del servizio. Al suo apice, Badbox 2.0 ha infettato quasi un milione di dispositivi, ma questo numero è stato ridotto della metà a causa degli sforzi della sicurezza umana, Google, Trend Micro e Shadowerver Foundation, che hanno identificato e chiuso diversi server di comando e controllo che gestiscono la botnet.
Kaye ha indicato che il malware è stato catturato nella sua fase di sviluppo, con molti moduli etichettati “Test”. Nonostante ciò, ci sono preoccupazioni per la possibilità del risveglio della botnet, simile agli incidenti precedenti a seguito della scoperta della rete Badbox originale. I dispositivi interessati da Badbox 2.0 sono fabbricati principalmente in Cina, con alcuni utilizzati nelle scuole pubbliche negli Stati Uniti
Badbox Botnet infetta oltre 192.000 dispositivi Android in tutto il mondo
Nel dicembre 2024, la BSI tedesca ha avviato una campagna di interruzione che ha affinizzato le comunicazioni da oltre 30.000 dispositivi infetti ai loro server di comando e controllo, ma presto ha scoperto un altro gruppo più ampio di oltre 190.000 dispositivi. L’operazione Badbox 2.0 sfrutta le vulnerabilità della catena di approvvigionamento, in cui i dispositivi backdoored ricevono un codice dannoso al momento dell’attivazione o del download da mercati di terze parti.
Gli attori delle minacce identificate includono il gruppo Salestracker, il gruppo Moyu, il gruppo Lemon e LongTV, che indicano sforzi collaborativi tra attori maligni distinti, raggruppando le risorse per migliorare l’operazione di frode.
Per mitigare la minaccia, sono state implementate misure di prevenzione delle frodi AD e il gioco di Google protegge le capacità di rilevamento aggiunte per i comportamenti associati a Badbox. Rimane una minaccia persistente da parte di questi operatori in quanto probabilmente si adatteranno e ricostruiranno le loro strategie di attacco.
Si consiglia agli utenti di rimanere vigili, in particolare contro alcune applicazioni dannose come “guadagnare reddito extra” e “calcolatore di ovulazione della gravidanza”, che sono stati collegati al malware. L’installazione di una solida soluzione di sicurezza può proteggere ulteriormente i dispositivi Android dai rischi posti dalla botnet Badbox.
Credito d’immagine in primo piano: Kerem Gülen/ideogramma
