A HUMAN Security Satori Threat Intelligence and Research csapata a Google, a Trend Micro és a Shadowserver együttműködésével felfedett és részben meghiúsított egy hatalmas kiberbűnözői műveletet, melyet BADBOX 2.0 néven ismerhetünk. A támadás célja egy fejlett kártékony szoftver (malware) terjesztése volt, amely több mint 1 millió Android Open Source Project (AOSP) alapú eszközt fertőzött meg világszerte. A támadás a világ legnagyobb olyan botnet-ét hozta létre, amely TV-eszközöket célzott meg. Bár méretben a legnagyobb, a BADBOX 2.0 nem az első ilyen típusú támadás. Az eredeti BADBOX malware már 2023-ban felfedezésre került, és akkor is Android alapú eszközök széles körét fertőzte meg, különösen olcsó, kínai gyártású okostévéket, TV boxokat és más hasonló eszközöket. Az újabb verzió, a BADBOX 2.0, az előző támadás továbbfejlesztett és kifinomultabb változata, amely új módszerekkel és bővített funkciókkal jelentkezett.
A BADBOX 2.0 kártékony szoftver működése
A BADBOX 2.0 malware a BB2DOOR nevű backdoor-t használja, amit a libanl.so-hoz hasonlóan módosított Android natív könyvtárakon keresztül juttatnak be az eszközökbe. Ezzel biztosítják a támadók számára a privilegizált, tartós hozzáférést a fertőzött eszközökhöz.
Hogyan terjed a malware?
A malware többféleképpen is bejuthat a rendszerbe:
- Előre telepített alkalmazásként (pl. gyárilag telepített alkalmazásokkal);
- C2 szervereken keresztül, amelyeken a támadók irányítják a fertőzött eszközöket;
- Nem hivatalos alkalmazásboltok (pl. harmadik fél áruházak) által történő letöltés révén.
A BB2DOOR a távoli kódvégrehajtás lehetőségét is biztosítja, így a támadók könnyedén újabb káros alkalmazásokat (például adware, spyware vagy más rosszindulatú kódok) juttathatnak a fertőzött eszközökre.
A támadás célpontjai és hatása
A BADBOX 2.0 a nem hitelesített Android alapú eszközökre összpontosít, amelyek elsősorban alacsony költségű, kínai gyártású okoseszközök, például TV boxok, tabletek, digitális projektorok. Ezek az eszközök nem esnek át a Google Android hitelesítési folyamatán, így sérülékenyebbek a támadásokkal szemben. Az eszközök 222 országban és területen generáltak rosszindulatú forgalmat, különösen Brazíliában, az Egyesült Államokban és Mexikóban.
A BADBOX 2.0 mögötti kiberbűnözői üzleti modell
A BADBOX 2.0 kártékony hálózata többféle bűncselekményt is lehetővé tesz, többek között:
- Programozott hirdetési csalás
A támadás során rejtett hirdetéseket és WebView-okat alkalmaznak, amelyek lehetővé teszik, hogy a támadók illegálisan keresetet generáljanak azáltal, hogy a felhasználók nem is tudnak a csalásról. - Alacsony minőségű domainekhez kötött kattintási csalás
A támadók hamis domain-eken keresztül generálnak kattintásokat, és azokat hirdetési csalás céljára használják. - Lakossági proxy-szolgáltatások eladása
A fertőzött eszközöket proxyként használják, amelyeket a támadók árulhatnak más kiberbűnözőknek, akik aztán más típusú támadásokhoz (pl. DDoS támadások, fiókeltérítések) használhatják fel.
Főbb támadó csoportok és azok kapcsolata
A BADBOX 2.0 mögött összesen négy főbb támadó csoportot azonosítottak a kutatók: SalesTracker, MoYu, Lemon Group és LongTV. Ezek a csoportok közösen osztoznak a C2 infrastruktúrán, és így teszik komplexebbé a támadásokat. A csoportok mindegyike különféle szolgáltatásokat és funkciókat kínál:
- MoYu például lakossági proxy-szolgáltatást kínál, ahol 5 GB forgalom-ért cserébe $13.64-t kérnek;
- LongTV alkalmazásai “evil twin” technikát alkalmaznak, vagyis olyan hamis alkalmazásokat telepítenek, amelyek rejtett hirdetéseket jelenítenek meg.
A védekezés jelenlegi állása
A Google és a többi érintett fél számos intézkedést hozott a BADBOX 2.0 terjedésének megállítására. A Google például eltávolította az érintett hirdetői fiókokat és a Google Play Protect segítségével blokkolta a fertőzött alkalmazásokat a hitelesített eszközökön. Emellett a Trend Micro és a Shadowserver is aktívan figyelik a fenyegetést és jelentéseket tesznek a kiberbiztonsági hatóságoknak. A probléma továbbra is jelentős, mivel a nem hitelesített AOSP eszközök ellátási lánca nem biztosított, így az eszközök továbbra is sebezhetőek a jövőbeni támadásokkal szemben. A BADBOX 2.0 kártékony szoftver képes bármilyen APK vagy script távoli végrehajtására, amely megkönnyíti a támadók számára a szoftverek gyors frissítését és a támadás adaptálását.
Javaslatok a felhasználók és cégek számára
- Felhasználók számára:
- Csak hivatalos alkalmazásboltokból (pl. Google Play) töltsenek le alkalmazásokat!
- Kerüljék az ismeretlen, nem hitelesített Android eszközöket!
- Telepítsenek megbízható biztonsági alkalmazásokat, például antivírus programokat és VPN-t!
- Vállalatok számára:
- Erősítsék meg a mobil eszközkezelési (MDM) rendszereket!
- Érdemes alkalmazni a Zero Trust modellek bevezetését a hálózati biztonság érdekében!
- Alakítsanak ki hatékony frissítési és monitoring rendszereket az eszközök biztonságos üzemeltetése érdekében!
A BADBOX 2.0 támadás a globális kiberbiztonság egyik legnagyobb fenyegetésévé vált. A támadás különösen a nem hitelesített AOSP eszközök sérülékenységére világít rá, és arra, hogy a gyenge eszközbiztonság globális problémává válhat, ha nem alkalmazunk proaktív védelmet. Az előző, 2023-ban indult BADBOX malware és annak folytatása a kiberbűnözők alkalmazkodó képességét mutatja, valamint a fenyegetések folyamatos fejlődését, amellyel a jövőben is szembesülnünk kell majd. A védekezés kulcsa a kollektív erőfeszítésekben, a felhasználói tudatosságban és a gyártói felelősségvállalásban rejlik.