Egy kutatócsoport felfedezte a Badbox malware új változatát, amely közel egymillió Android-eszközt fertőzött meg, létrehozva ezzel egy globális botnetet.
Az első Badbox-hálózatot még 2023-ban észlelték, amikor nem hivatalos, Android-alapú internetkapcsolattal rendelkező TV-boxok – például az Apple TV, Roku vagy az Amazon Fire Stick utánzatai – malware-rel fertőződtek meg.
A Badbox 2.0 ismét az Android-eszközöket célozza meg, ezúttal az Android Open Source Project (AOSP) alapú hardvereket, melyeket olcsó, márkanév nélküli telefonokban, internet kapcsolattal rendelkező TV-boxokban, autókban használt tabletekben és digitális kivetítőkben azonosítottak. Ezt a malware-t gyakran az ellátási lánc manipulálásával terjesztik úgy, hogy a támadók olcsó hardvereket vásárolnak, azokat átcsomagolják, telepítik rájuk a rosszindulatú kódot – akár a firmware-be, akár egy olyan alkalmazásba, amelyet a felhasználók valószínűleg gyakran használnak-, majd újraértékesítik a fertőzött termékeket.
A kutatók több mint 200 fertőzött alkalmazást azonosítottak, amelyeket harmadik féltől származó Android-alkalmazásboltokban terjesztettek. Ezek általában legitim alkalmazások „gonosz ikerpárjai”, amelyeket a kiberbűnözők a Google Play Áruházban elérhető alkalmazások mintájára hoztak létre. A harmadik féltől származó alkalmazásboltok népszerűsége a fejlődő országokban megkönnyíti a malware terjedését.
A botnetet különféle hirdetési csalásokhoz használják, a fertőzött eszközök láthatatlan hirdetéseket futtatnak a háttérben, ezzel generálva bevételt a bűnözők számára. Emellett az eszközöket lakossági proxyként is felhasználják, ami lehetővé teszi a támadók számára, hogy legitim hálózatokon keresztül rejtőzzenek el. A kutatók azt is felfedezték, hogy a malware a fertőzött eszközökön beírt jelszavakat is ellopja.
A Badbox 2.0 közel egymillió eszközt fertőzött meg, de ezt a számot sikerült a felére csökkenteni a Human Security, a Google, a Trend Micro és a Shadowserver Foundation közös munkájának köszönhetően. Ezek a szervezetek segítettek azonosítani és leállítani a botnet irányítására szolgáló szervereket, figyelték a gyanús Android forgalmat és értesítették a vállalatokat a fertőzött eszközökről.
Bár a fertőzést viszonylag korán észlelték, a kutatók szerint a bűnözők újra megpróbálhatják újjáépíteni a botnetet, még kifinomultabb rejtőzködési taktikákat alkalmazva, ahogyan azt az első Badbox-hálózat esetében is tették.
A Badbox botnet ismét az Android eszközöket veszi célba
tegnap 09:24
