Das BADBOX-Botnetz hat inzwischen weltweit über 192.000 Android-Geräte infiziert und seine Reichweite über die kostengünstige Elektronik hinaus auf bekannte Marken wie Yandex und Hisense ausgeweitet. Diese Malware stellt ein erhebliches Risiko dar, da sie während der Herstellung auf Geräten vorinstalliert wird.
Das BADBOX-Botnetz zielt hauptsächlich auf Android-Betriebssysteme und hat eine beträchtliche Widerstandsfähigkeit gezeigt, wobei die neuesten Telemetriedaten zeigen, dass es eine größere Vielfalt an Geräten betroffen hat als bisher berichtet. Nach der Aktivierung stellen infizierte Geräte eine Verbindung zu einem Command and Control (C2)-Server her und gewähren Angreifern Zugriff auf das lokale Netzwerk. Die Malware kann Daten zur Zwei-Faktor-Authentifizierung abfangen und weitere Schadsoftware installieren. Es wird angenommen, dass es sich bei dem Infektionsvektor um Angriffe auf die Lieferkette handelt, bei denen Malware auf Firmware-Ebene eingebettet wird, was die Entfernungsbemühungen erschwert, da sie sich in einer nicht beschreibbaren Partition befindet.
Umfang des BADBOX-Botnetzes
BitSight deuten darauf hin, dass etwa 160.000 der infizierten Geräte zu einzigartigen, noch nie dagewesenen Modellen gehören und High-End-Produkte wie den Yandex 4K QLED Smart TV und das T963 Hisense Smartphone betreffen. Die weit verbreitete Natur dieser Infektion macht Schwachstellen in verschiedenen Gerätekategorien deutlich und zeigt, dass selbst vertrauenswürdige Marken nicht immun sind.
Kompromittierte Geräte dienen mehreren böswilligen Zwecken. Sie können als private Proxys für den Internetverkehr fungieren, unbefugte Remote-Installationen durchführen und sogar Konten zur Verbreitung von Fehlinformationen erstellen. Diese Aktivitäten tragen zu einem Kreislauf finanzieller Gewinne für Cyberkriminelle bei, indem sie infizierte Geräte für Werbebetrug oder ähnliche kriminelle Unternehmen nutzen.
Die hohe Inzidenz von Infektionen erstreckt sich über mehrere Länder, wobei erhebliche Zahlen aus Russland, China, Indien, Weißrussland, Brasilien und der Ukraine gemeldet wurden. Die deutschen Behörden hatten versucht, diese Vorgänge zu stören, indem sie einen der Befehls- und Kontrollserver zerstörten, was Auswirkungen auf etwa 30.000 Geräte hatte, die hauptsächlich aus Android-basierten digitalen Bilderrahmen und Media-Streaming-Boxen bestanden. Allerdings scheint dieser Eingriff nur begrenzten Erfolg gehabt zu haben, da die Gesamttelemetrie von BADBOX anhaltendes Wachstum und Aktivität zeigt.
Hacker von Russian Secret Blizzard nutzen Malware, um ukrainische Streitkräfte anzugreifen
Zwar wurden Anstrengungen unternommen, um das Problem anzugehen, einschließlich Warnungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Gefahren veralteter Firmware und vorinstallierter Malware, doch die Herausforderung bleibt für Hersteller und Einzelhändler bestehen. Es besteht eine gemeinsame Verantwortung dafür, dass Geräte sicher sind, bevor sie den Verbraucher erreichen.
Verbraucher müssen beim Kauf von Geräten besonders wachsam sein, insbesondere über beliebte Online-Plattformen wie Amazon, eBay und AliExpress, wo die Gefahr erhöht ist, auf infizierte Produkte zu stoßen. Das BSI betont, dass Privatpersonen sicherstellen sollten, dass ihre Geräte die neuesten Firmware-Updates erhalten. Darüber hinaus kann das Trennen von Geräten vom Internet bei Nichtgebrauch die Gefährdung durch anhaltende Bedrohungen minimieren.
Ein weiteres besorgniserregendes Anzeichen einer BADBOX-Infektion sind spürbare Leistungseinbußen des Geräts, Überhitzung und abnormaler Netzwerkverkehr. Expertenrat empfiehlt Benutzern, diese Symptome proaktiv zu überwachen, da sie auf zugrunde liegende Malware-Aktivitäten hinweisen können, die persönliche Daten und Gerätefunktionen gefährden könnten.
Untersuchungen des Cybersicherheitsunternehmens BitSight haben das Verständnis der Übertragung und Persistenz von BADBOX vertieft und beobachtet, wie über 160.000 eindeutige IP-Adressen innerhalb nur eines Tages versuchen, Kontakt mit den Kontrolldomänen herzustellen. Dieses Wachstum deutet auf die Fähigkeit der Malware hin, sich anzupassen und ihren Anspruch auf ein breiteres Geräte-Ökosystem auszudehnen.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
