Ботнет BadBox для Android вырос до более чем 192 000 зараженных устройств по всему миру, несмотря на недавнюю операцию по уничтожению ботнета в Германии.
Исследователи из BitSight предупреждают, что вредоносное ПО, похоже, расширило сферу своего воздействия, выйдя за пределы известных китайских Android-устройств, и теперь заражает более известные и надежные бренды, такие как телевизоры Yandex TV и смартфоны Hisense.
Ботнет с вредоносным ПО BadBox
BadBox – это вредоносная программа для Android, основанная на семействе вредоносных программ Triada, заражающая устройства малоизвестных производителей либо через атаки на прошивку в цепочке поставок, либо через недобросовестных сотрудников, либо через инъекции, происходящие на этапе распространения продукта.
Впервые вредонос был обнаружен на ТВ-боксе T95 с ОС Android, купленном на Amazon канадским консультантом по безопасности Дэниелом Милисиком в начале 2023 года. С тех пор вредоносная программа распространилась и на другие noname-продукты, продаваемые в Интернете.
Цель кампании BadBox – финансовая выгода, которая достигается путем превращения устройства в домашний прокси-сервер или использования его для рекламного мошенничества. Затем эти прокси-серверы могут быть сданы в аренду другим пользователям, в большинстве случаев киберпреступникам, которые используют ваше устройство в качестве прокси-сервера для проведения атак или других мошеннических действий.
Кроме того, вредоносная программа BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, что позволяет выполнять более опасные операции.
На прошлой неделе Федеральное управление по информационной безопасности Германии (BSI) объявило о пресечении деятельности вредоносной программы BadBox в стране после того, как был уничтожен один из командно-контрольных серверов вредоносной программы, в результате чего была прервана связь с 30 000 устройств на базе Android.
В основном это были цифровые фоторамки и медиаприставки на базе Android, но BSI предупредило, что, скорее всего, BadBox присутствует и в других категориях продуктов.
BadBox продолжает расти
Новый отчет BitSight подтверждает, что, несмотря на действия полиции Германии, масштабы деятельности BadBox продолжают расти: исследователи обнаружили вредоносное ПО для Android на 192 000 телевизоров и смартфонов.
По словам исследователя BitSight Педро Фале (Pedro Falé), компании, занимающейся вопросами кибербезопасности, удалось выловить один из командно-контрольных серверов, используемых вредоносной программой BadBox.
Поскольку теперь исследователи контролируют домен, они могут видеть, когда устройства пытаются подключиться к нему, что позволяет им определить, сколько уникальных IP-адресов подверглось воздействию.
«Реальность такова, что BADBOX, похоже, все еще жив и распространяется. Это стало очевидным, когда Bitsight удалось «утопить» домен BADBOX, зарегистрировав более 160 000 уникальных IP-адресов в течение 24 часов. Это число неуклонно растет»
- пишет Фале
Количество обнаруженных устройств значительно превышает то, что ранее считалось пиком для этого ботнета – около 74 000 взломанных устройств.
Около 160 000 из зараженных устройств – это популярные в России 4K QLED Smart TV от Yandex и смартфон Hisense T963.
«Зараженные модели от YNDX-00091 до YNDX-000102 – это 4K Smart TV от известного бренда, а не дешевые Android TV-боксы. Это первый случай, когда Smart TV крупного бренда напрямую общается в таком объеме с командно-контрольным (C2) доменом BadBox, что расширяет сферу пораженных устройств за пределы Android TV-боксов, планшетов и смартфонов»
- поясняет BitSight
Устройства, обнаруженные BitSight, в основном находятся в России, Китае, Индии, Беларуси, Бразилии и Украине.
BitSight также сообщает, что недавняя операция BSI не повлияла на данные телеметрии, поскольку действия были ограничены географически, что позволило вредоносному ПО BadBox для Android продолжать работу без изменений.
Поскольку BadBox распространяется на все большее число крупных брендов, потребителям необходимо применять последние обновления безопасности прошивки, изолировать свои смарт-устройства от более важных систем и отключать их от Интернета, когда они не используются.
Однако если обновления безопасности или прошивки для вашего устройства отсутствуют, настоятельно рекомендуется отключить его от сети или вообще выключить.
Признаками заражения ботнетом BadBox являются перегрев и падение производительности из-за высокой нагрузки на процессор, нетипичный сетевой трафик и изменения в настройках устройства.
Комментарии (0)