Het Satori -onderzoeksteam van Human Security heeft de heropleving van het Badbox -botnet gemeld, nu aangedreven door maximaal een miljoen geïnfecteerde Android -apparaten. Deze variant van de op afstandsbediening bestuurbare Badbox-malware is geïdentificeerd in verschillende off-merk hardware, waaronder goedkope Android-telefoons, verbonden tv-dozen, tablets en digitale projectoren.
Badbox Botnet Durft opnieuw op, die wereldwijd een miljoen Android -apparaten infecteren
De eerste uitbraak van Badbox vond plaats in 2023, waarbij off-merk Android-aangedreven tv-apparaten op internet verbonden zijn die deelnamen aan een groot advertentie-fraudeschema genaamd Peachpit, met ongeveer 74.000 apparaten die betrokken zijn bij het eerste cluster. Badbox 2.0 richt zich op apparaten met het Android Open Source Project (AOSP) en heeft zich nu verspreid naar ongeveer een miljoen apparaten in meer dan 220 landen.
Gavin Reid, ciso van menselijke veiligheid, uitgelegd Dat de operators van de Botnet vaak met de supply chain knoeien door goedkope hardware te kopen, het opnieuw te doen en kwaadwillende code in te bedden in firmware of populaire apps, die vervolgens worden verkocht aan consumenten. Meer dan 200 apps die malware bevatten die aan het botnet zijn gekoppeld, zijn ontdekt, voornamelijk gehost in Android-app-winkels van derden, waardoor legitieme applicaties van de Google Play Store vaak worden gerepliceerd om gebruikers te misleiden om ze te downloaden.
“Het Badbox 2.0 -schema is groter en veel erger dan wat we in 2023 zagen,” verklaarde Reid, en benadrukte de toename van apparaattypen gerichte types en de complexiteit van de gebruikte fraudemechanismen. Het netwerk heeft verkeer uit 222 landen en gebieden geproduceerd sinds de heropleving van de Botnet afgelopen herfst.
De inkomsten van dit botnet omvat verborgen advertentieweergaven en ad-click fraude, effectief vermomd om detectie te ontwijken. Lindsay Kaye, vice -president van Dreiging Intelligence bij Human Security, merkte op dat de exploitanten van de Botnet hun frauduleuze bedoelingen verbergen door echt verkeer af te breken met illegale activiteiten van geïnfecteerde huishoudens, waardoor detectie door advertentienetwerken aanzienlijk een uitdager wordt.
Naast advertentiefraude vormt de malware ook risico’s zoals wachtwoorddiefstal en potentieel voor aanvallen van weigering. Op zijn hoogtepunt besmet Badbox 2.0 bijna een miljoen apparaten, maar dit aantal is met de helft verlaagd vanwege inspanningen van Human Security, Google, Trend Micro en Shadowerver Foundation, die verschillende command-and-control servers identificeerden en afsluiten die het botnet beheren.
Kaye gaf aan dat de malware werd gevangen in zijn ontwikkelingsfase, met veel modules met het label ’test’. Desondanks zijn er zorgen over de mogelijkheid van de revival van de botnet, vergelijkbaar met eerdere incidenten na de ontdekking van het oorspronkelijke Badbox -netwerk. Apparaten die worden getroffen door Badbox 2.0 worden voornamelijk vervaardigd in China, waarbij sommige naar verluidt op openbare scholen in de VS worden gebruikt
Badbox Botnet infecteert over 192.000 Android -apparaten wereldwijd
In december 2024 startte de BSI van Duitsland een verstoringscampagne die communicatie van meer dan 30.000 geïnfecteerde apparaten naar hun command-and-control-servers zinkte, maar al snel een andere grotere groep van meer dan 190.000 apparaten aan het licht bracht. De Badbox 2.0-operatie maakt gebruik van kwetsbaarheden voor supply chain, waarbij apparaten met achterdeur kwaadaardige code ontvangen bij activering of downloaden van externe marktplaatsen.
De geïdentificeerde dreigingsactoren zijn de Salestracker Group, Moyu Group, Lemon Group en LongTV, wat wijst op samenwerkingsinspanningen bij verschillende kwaadaardige actoren, het poolen van middelen om de fraudeoperatie te verbeteren.
Om de dreiging te verminderen, werden de maatregelen voor preventies voor advertentiefraude geïmplementeerd en Google’s play beschermt extra detectiemogelijkheden voor badbox-geassocieerd gedrag. Er blijft een aanhoudende bedreiging van deze operators over, omdat ze waarschijnlijk hun aanvalsstrategieën aanpassen en reconstrueren.
Gebruikers wordt geadviseerd om waakzaam te blijven, vooral tegen bepaalde kwaadaardige applicaties, zoals ‘extra inkomsten verdienen’ en ‘zwangerschap ovulatiecalculator’, die zijn gekoppeld aan de malware. Het installeren van een robuuste beveiligingsoplossing kan Android -apparaten verder beschermen tegen de risico’s van het Badbox -botnet.
Uitgelichte afbeeldingskrediet: Kerem gülen/ideogram
