Twój nowy gadżet może pracować dla cyberprzestępców. Kupisz go ze złośliwym oprogramowaniem

Nowa wersja groźnego botnetu BadBox, oznaczona jako BadBox 2.0, stanowi jedno z najbardziej zaawansowanych zagrożeń w świecie urządzeń opartych na Androidzie. Tym razem cyberprzestępcy poszli o krok dalej i złośliwe oprogramowanie może pojawić się zarówno podczas produkcji sprzętu, jak i już po jego zakupie, infekując urządzenie w trakcie jego pierwszego uruchomienia.

Nowa fala cyberataków jest wymierzona w technologię domową, ponieważ FBI wydało ostrzeżenie o odrodzeniu się botnetu BadBox 2.0. Ta wyrafinowana sieć zainfekowanych urządzeń Internetu rzeczy jest wykorzystywana przez cyberprzestępców do infiltracji sieci domowych na masową skalę, co wzbudza duże obawy dotyczące bezpieczeństwa codziennych inteligentnych urządzeń. Globalny zasięg kampanii obejmuje ponad 220 krajów i terytoriów, a infekcje zgłaszane są we wszystkim, od niedrogich pudełek do przesyłania strumieniowego po niecertyfikowane cyfrowe ramki do zdjęć.

Inwigilacja już z fabryki

Choć pierwsze sygnały o istnieniu operacji BadBox pojawiły się w 2023 roku, ale nowa wersja złośliwego oprogramowania, znana jako BadBox 2.0, stanowi jeszcze poważniejsze zagrożenie dla użytkowników na całym świecie. Tym razem cyberprzestępcy udoskonalili swój arsenał, sprawiając, że nawet niepozorne urządzenia IoT mogą stać się narzędziami do kradzieży danych, oszustw finansowych i ataków DDoS.

Nowa wersja groźnego botnetu BadBox, oznaczona jako BadBox 2.0, stanowi jedno z najbardziej zaawansowanych zagrożeń w świecie urządzeń opartych na Androidzie.

Pierwotna wersja BadBox działała głównie poprzez fabryczne infekowanie tanich urządzeń opartych na Androidzie, często pochodzących od nieznanych marek z Chin i niespełniających wymogów certyfikacji Google Play Protect. Na liście znalazły się przystawki do streamingu, projektory, tablety, a nawet samochodowe systemy infotainment.

Choć w 2024 roku kampania została częściowo rozbita przez wspólną akcję firm z branży cyberbezpieczeństwa, Google oraz niemieckich służb, atakujący szybko przystosowali się do nowych realiów, prezentując znacznie bardziej zaawansowaną wersję, BadBox 2.0.

Botnet nowej generacji

Największą zmianą w BadBox 2.0 jest jego zdolność do infekowania urządzeń nie tylko podczas produkcji, ale również po ich uruchomieniu przez użytkownika. Wystarczy pobranie aplikacji z nieoficjalnego sklepu, by malware zyskał dostęp do systemu.

Za całą operacją stoją co najmniej cztery zorganizowane grupy: SalesTracker, MoYu, Lemon i LongTV a każda z nich odpowiada za inny etap działalności, od infekcji po monetyzację skradzionych danych.

Zainfekowane urządzenie staje się częścią rozproszonego botnetu, wykorzystywanego do:

• maskowania aktywności przestępczej jako rezydencyjne proxy,
• przeprowadzania ataków DDoS i oszustw reklamowych,
• kradzieży haseł i kodów SMS do kont bankowych,
• wykonywania dowolnych poleceń w celu dalszego rozprzestrzeniania się lub innych działań przestępczych.

Ewolucja z Triady 

Korzenie BadBox sięgają Androidowego trojana Triada z 2016 roku, czyli jednego z pierwszych, który potrafił głęboko wniknąć w system i skutecznie unikać wykrycia. Przez niemal dekadę jego kod był rozwijany, stając się podstawą dla obecnych ataków z wykorzystaniem łańcucha dostaw.

Złośliwe oprogramowanie BadBox 2.0 działa cicho i większość użytkowników nie zauważy żadnych objawów. Możliwe symptomy to obecność podejrzanych aplikacji lub nieznanych sklepów z aplikacjami, nagłe przegrzewanie się urządzenia, zmiany w ustawieniach sieciowych czy wyraźne spowolnienie działania systemu.

FBI ostrzega, że szczególnie ryzykowne są urządzenia reklamowane jako "odblokowane" lub oferujące darmowy dostęp do płatnych treści. W przypadku podejrzenia infekcji eksperci zalecają natychmiastowe odłączenie urządzenia od internetu, sprawdzenie sieci domowej pod kątem nieznanych połączeń, usunięcie podejrzanych aplikacji lub przywrócenie ustawień fabrycznych oraz rozważenie wymiany sprzętu na certyfikowany, jeśli urządzenie jest trwale zainfekowane.