Egy kutatócsoport újabb változatát fedezte fel a Badbox malware-nek, amely közel egymillió Android-eszközt fertőzött meg, és egy globális botnet-hálózatot hozott létre.
Az első Badbox-hálózatot még 2023-ban azonosították, amikor nem hivatalos Android-alapú TV-boxok – például az Apple TV, Roku és Amazon Fire Stick utánzatai – váltak a malware célpontjává. A támadók ezekbe az eszközökbe fertőzött szoftvereket telepítettek, hogy titkos tevékenységeket végezzenek rajtuk keresztül.
A Badbox 2.0 ismét az Android-eszközökre összpontosít, ezúttal az Android Open Source Project (AOSP) alapú hardvereket veszi célba. A kutatók a malware-t olcsó, márkanév nélküli telefonokban, internetkapcsolattal rendelkező TV-boxokban, autókban használt tabletekben és digitális kivetítőkben azonosították.
A fertőzés az ellátási lánc manipulálásával történik: a támadók olcsó hardvereket vásárolnak, átcsomagolják, rosszindulatú kódot telepítenek rájuk – akár a firmware-be, akár egy népszerű alkalmazásba – majd ezeket az eszközöket újraértékesítik.
A kutatók több mint 200 fertőzött alkalmazást azonosítottak, amelyeket harmadik féltől származó alkalmazásboltokban terjesztettek. Ezek gyakran a Google Play Áruházban elérhető legitim alkalmazások manipulált másolatai, amelyeket a kiberbűnözők az eredeti verziók mintájára hoztak létre. Az ilyen alternatív alkalmazásboltok különösen népszerűek a fejlődő országokban, ami segíti a malware terjedését.
A fertőzött eszközök hirdetési csalásokhoz lettek felhasználva – ezek a háttérben láthatatlan hirdetéseket futtatnak, így bevételt generálnak a támadók számára. Emellett az érintett eszközök lakossági proxyként is működnek, lehetővé téve a bűnözők számára, hogy legitim hálózatokon keresztül rejtőzzenek el. A kutatók azt is felfedezték, hogy a malware a felhasználók által beírt jelszavakat is ellopja, további adatbiztonsági kockázatot teremtve.
A Badbox 2.0 közel egymillió eszközt fertőzött meg, de a Human Security, a Google, a Trend Micro és a Shadowserver Foundation közös munkájának köszönhetően ezt a számot sikerült a felére csökkenteni. A szakértők azonosították és leállították a botnetet irányító szervereket, figyelték a gyanús Android forgalmat, és értesítették a vállalatokat a fertőzött eszközökről.
Bár a fertőzést viszonylag korán észlelték, a kutatók szerint a bűnözők újra megpróbálhatják felépíteni a botnetet, még fejlettebb rejtőzködési taktikákat alkalmazva – hasonlóan ahhoz, amit az első Badbox-hálózat esetében is tettek.
(via)