Суть атаки в том, что злоумышленники используют заражённые устройства как резидентные прокси — это позволяет им маскировать свою активность, перенаправляя вредоносный трафик через IP-адреса ничего не подозревающих пользователей. Кроме того, заражённая техника участвует в кликфорде, автоматической прокрутке рекламы и в атаках на аккаунты с помощью ранее украденных паролей.

Особую опасность представляет способ заражения. BADBOX 2.0 может быть предустановлен на устройство ещё до покупки — прямо на заводе, либо попасть на него при установке обновлений или приложений из сторонних маркетов. Как подчёркивают специалисты, основное заражение происходит уже на этапе первой настройки, когда устройство скачивает обязательные приложения, содержащие в себе бэкдор.

После активации вредонос подключается к управляющим серверам злоумышленников, получая команды на дальнейшее использование. Одной из главных функций становится участие в прокси-сетях, через которые преступники ведут анонимную деятельность в интернете. Это также позволяет скрывать массовые атаки на сайты, совершать мошенничество с рекламой и использовать взломанные IP в подборе паролей.

Первые случаи заражения BADBOX были зафиксированы ещё в 2023 г. на дешёвых Android TV-боксах — T95 и подобных. Тогда вредонос был остановлен усилиями немецких специалистов, которые блокировали связь заражённых устройств с управляющими серверами через технологию sinkhole. Однако спустя всего неделю новые версии BADBOX были замечены уже на 192 тысячах устройств, включая технику более известных брендов, таких как Hisense и даже Yandex TV.

Исследователи предупреждают, что теперь малварь атакует не только китайские no-name устройства под управлением Android, но заражает девайсы более известных и надежных производителей, включая телевизоры Yandex TV и смартфоны Hisense.

BadBox представляет собой малварь для Android, основанную на вредоносном семействе Triada. Она предустанавливается на устройства и используется для кражи данных, установки дополнительного вредоносного ПО, а также позволяет злоумышленникам получить удаленный доступ к сети, в которой находится зараженный гаджет.

По данным специалистов, малварь может воровать коды двухфакторной аутентификации, устанавливать другие вредоносные программы, а также создавать новые email-аккаунты и учетные записи в мессенджерах для распространения фейковых новостей. Кроме того, операторы Badbox могут быть связаны с рекламным мошенничеством, а зараженные гаджеты порой используются в качестве резидентных прокси.

Работа Badbox на зараженных гаджетах

Еще в прошлом году специалисты Human Security и независимый ИБ-исследователь Даниэль Милишич (Daniel Milisic) предупредили, что тысячи IoT-устройств заражены Badbox и продаются сразу с малварью «в комплекте». Тогда сообщалось, что бэкдоры содержат как минимум семь ТВ-приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.

При этом исследователям не удалось определить, на каком именно этапе цепочки поставок происходит компрометация. Например, заражению подвергаются бюджетные Android-приставки для работы с потоковым видео (как правило, стоимостью менее 50 долларов). Но зачастую они продаются под разными брендами или вообще не имеют бренда, так что проследить их происхождение и цепочку поставок оказалось затруднительно.

На прошлой неделе эксперты Федерального управления по информационной безопасности Германии (BSI) сообщили, что помешали работе ботнета Badbox. Так, в стране обнаружили более 30 000 таких зараженных девайсов (включая цифровые фоторамки, медиаплееры, ТВ-приставки, и вероятно, смартфоны и планшеты).

BSI удалось заблокировать коммуникации между зараженными Badbox устройствами и их управляющей инфраструктурой, осуществив sinkhole DNS-запросов. Соответствующие указания получили все интернет-провайдеры страны, обсуживающие более 100 000 абонентов.

К сожалению, новый отчет компании BitSight гласит, что, несмотря на действия правоохранительных органов Германии, масштабы активности Badbox продолжают расти: исследователи выявили малварь на 192 000 телевизоров и смартфонов.

Эксперты сообщают, что им удалось осуществить sinkhole одного из управляющих серверов вредоноса. Поскольку теперь эксперты контролируют этот домен, они получили возможность наблюдать за устройствами, которые пытаются подключиться к нему. Это и позволило узнать, о каком количестве уникальных IP-адресов идет речь.

«На самом деле, Badbox все еще жив и активно распространяется. Это стало очевидным, когда Bitsight удалось осуществить sinkhole домена Badbox и зафиксировать более 160 000 уникальных IP-адресов, пытавшихся подключится к нему за первые 24 часа. И это число неуклонно растет», — пишут эксперты.

Количество обнаруженных экспертами устройств значительно превышает размеры ботнета Badbox, зафиксированные раннее. Так, считалось, что ботнет начитывает около 74 000 скомпрометированных устройств, а не 192 000, как обнаружили теперь. Девайсы, обнаруженные BitSight, в основном находятся в России, Китае, Индии, Беларуси, Бразилии и Украине.

Хуже того, сообщается, что среди зараженных устройств числятся популярные в России 4K QLED Smart TV от Yandex и смартфоны Hisense T963.

«Затронутые модели от YNDX-00091 до YNDX-000102 — это 4K Smart TV от известного бренда, а не дешевые ТВ-приставки на Android , — объясняют в BitSight. — Это первый случай, когда умные ТВ крупного бренда напрямую обращаются к управляющему серверу Badbox в таких количествах, что расширяет список зараженных устройств, не ограничивая его только ТВ-приставками на Android, планшетами и смартфонами».

Отмечается, что Badbox заражены не только упомянутые модели. Исследователи зафиксировали, что с управляющими серверами малвари общаются устройства, приведенные в таблице ниже.

Более того, более 98% трафика приходится на различные модели YNDX Smart TV и смартфоны T963.

Также в BitSight отмечают, что недавняя операция BSI практически не повлияла на работу ботнета, так как действия правоохранителей были ограничены географически, и в целом ботнет Badbox продолжает работу без существенных изменений.

Эксперты говорят, что Badbox распространяется на все большее количество устройств, поэтому потребителям крайне важно устанавливать последние обновления прошивок, изолировать свои умные устройства от более важных систем и отключать их от интернета, если связанные с этим функции не используются.