ИБ-эксперты
с ботнетом BadBox, в который входят различные Android-устройства: ТВ-приставки, планшеты, умные телевизоры и смартфоны.
На этот раз из официального магазина Google Play были удалены сразу 24 вредоносных приложения, а также удалось осуществить sinkhole и блокировать малварь на 500 000 зараженных устройств.
Напомним, что BadBox представляет собой малварь для Android, основанную на коде вредоносного семейства Triada. Зачастую вредонос может предустанавливаться на бюджетные устройства прямо «из коробки», а также может заражать их через вредоносные приложения и прошивки.
Как уже сообщалось ранее, BadBox способен воровать коды двухфакторной аутентификации, устанавливать другие вредоносные программы, а также создавать новые email-аккаунты и учетные записи в мессенджерах для распространения фейковых новостей. Кроме того, операторы BadBox связаны с рекламным мошенничеством, а зараженные гаджеты порой используются в качестве резидентных прокси.
В начале декабря 2024 года немецкие правоохранители попытались часть ботнета BadBox. Но вскоре исследователи из компании BitSight , что эта операция не сильно повлияла на его работу. Так, уже в конце декабря ботнет снова насчитывал более 192 000 зараженных устройств по всему миру.
С тех пор BadBox разросся еще больше и теперь насчитывает более 1 000 000 зараженных устройств на базе Android. Большинство пострадавших гаджетов находятся в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
Новую операцию по борьбе с ботнетом возглавили специалисты Human Security, в сотрудничестве с Google, Trend Micro, The Shadowserver Foundation и другими экспертами.
В связи с резким увеличением размеров ботнета теперь исследователи называют его BadBox 2.0, чтобы обозначить новую веху в его работе.
Эксперты утверждают, что обнаружили доказательства того, что этот ботнет обслуживают и поддерживают сразу несколько хакерских групп, у каждой из которых собственная роль и цели. Среди них: SalesTracker (управление инфраструктурой), MoYu (разработка бэкдора и ботнета), Lemon (рекламные мошеннические кампании) и LongTV (разработка вредоносных приложений).
Зараженные BadBox Android-устройства регулярно подключаются к контролируемым злоумышленниками управляющим серверам, чтобы получить новые настройки конфигурации и команды для выполнения.
Специалисты Human Security и The Shadowserver Foundation сообщают, что осуществили sinkhole ряда доменов ботнета, что позволило нарушить связь с управляющими серверами для 500 000 зараженных устройств. Так как эти устройства больше не могут связаться с серверами хакеров, малварь на них перешла в спящий режим и теперь неактивна.
Более того, аналитики выявили в официальном магазине Google Play 24 приложения, которые устанавливали BadBox на Android-устройства. Некоторые из них (включая Earn Extra Income и Pregnancy Ovulation Calculator от Seekiny Studio), насчитывали более 50 000 загрузок.
В настоящее время Google удалила вредоносные приложения из Google Play и добавила в Play Protect правило, предупреждающее пользователей и блокирующее установку приложений, связанных с BadBox 2.0.
Также были удалены аккаунты издателей, которые занимались рекламным мошенничеством, связанным с BadBox, что не позволит им получать монетизацию через Google Ads.
Однако Google не может удалить саму угрозу с Android-устройств, не имеющих сертификации Play Protect. Поэтому, хотя работа BadBox 2.0 была нарушена, ботнет нельзя назвать ликвидированным.
Ниже можно увидеть список устройств, которые пострадали от заражения BadBox или являются целью для вышеперечисленных хак-групп.
Так как получить чистую прошивку для этих устройств вряд ли удастся, их владельцам настоятельно рекомендуется заменить гаджеты на продукты известных брендов или хотя бы отключить их от интернета.
На этот раз из официального магазина Google Play были удалены сразу 24 вредоносных приложения, а также удалось осуществить sinkhole и блокировать малварь на 500 000 зараженных устройств.
Напомним, что BadBox представляет собой малварь для Android, основанную на коде вредоносного семейства Triada. Зачастую вредонос может предустанавливаться на бюджетные устройства прямо «из коробки», а также может заражать их через вредоносные приложения и прошивки.
Как уже сообщалось ранее, BadBox способен воровать коды двухфакторной аутентификации, устанавливать другие вредоносные программы, а также создавать новые email-аккаунты и учетные записи в мессенджерах для распространения фейковых новостей. Кроме того, операторы BadBox связаны с рекламным мошенничеством, а зараженные гаджеты порой используются в качестве резидентных прокси.
В начале декабря 2024 года немецкие правоохранители попытались часть ботнета BadBox. Но вскоре исследователи из компании BitSight , что эта операция не сильно повлияла на его работу. Так, уже в конце декабря ботнет снова насчитывал более 192 000 зараженных устройств по всему миру.
С тех пор BadBox разросся еще больше и теперь насчитывает более 1 000 000 зараженных устройств на базе Android. Большинство пострадавших гаджетов находятся в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
Новую операцию по борьбе с ботнетом возглавили специалисты Human Security, в сотрудничестве с Google, Trend Micro, The Shadowserver Foundation и другими экспертами.
В связи с резким увеличением размеров ботнета теперь исследователи называют его BadBox 2.0, чтобы обозначить новую веху в его работе.
Эксперты утверждают, что обнаружили доказательства того, что этот ботнет обслуживают и поддерживают сразу несколько хакерских групп, у каждой из которых собственная роль и цели. Среди них: SalesTracker (управление инфраструктурой), MoYu (разработка бэкдора и ботнета), Lemon (рекламные мошеннические кампании) и LongTV (разработка вредоносных приложений).
Зараженные BadBox Android-устройства регулярно подключаются к контролируемым злоумышленниками управляющим серверам, чтобы получить новые настройки конфигурации и команды для выполнения.
Специалисты Human Security и The Shadowserver Foundation сообщают, что осуществили sinkhole ряда доменов ботнета, что позволило нарушить связь с управляющими серверами для 500 000 зараженных устройств. Так как эти устройства больше не могут связаться с серверами хакеров, малварь на них перешла в спящий режим и теперь неактивна.
Более того, аналитики выявили в официальном магазине Google Play 24 приложения, которые устанавливали BadBox на Android-устройства. Некоторые из них (включая Earn Extra Income и Pregnancy Ovulation Calculator от Seekiny Studio), насчитывали более 50 000 загрузок.
В настоящее время Google удалила вредоносные приложения из Google Play и добавила в Play Protect правило, предупреждающее пользователей и блокирующее установку приложений, связанных с BadBox 2.0.
Также были удалены аккаунты издателей, которые занимались рекламным мошенничеством, связанным с BadBox, что не позволит им получать монетизацию через Google Ads.
Однако Google не может удалить саму угрозу с Android-устройств, не имеющих сертификации Play Protect. Поэтому, хотя работа BadBox 2.0 была нарушена, ботнет нельзя назвать ликвидированным.
Ниже можно увидеть список устройств, которые пострадали от заражения BadBox или являются целью для вышеперечисленных хак-групп.
| Модель устройства | Модель устройства | Модель устройства | Модель устройства |
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Так как получить чистую прошивку для этих устройств вряд ли удастся, их владельцам настоятельно рекомендуется заменить гаджеты на продукты известных брендов или хотя бы отключить их от интернета.
