Das Satori -Forschungsteam von Human Security hat das Wiederbelebung des Badbox -Botnetzes gemeldet, das jetzt von bis zu einer Million infizierten Android -Geräten betrieben wird. Diese Variante der fernkontrollierbaren Badbox-Malware wurde in verschiedenen Hardware außerhalb der Marken identifiziert, darunter billige Android-Telefone, verbundene Fernsehboxen, Tablets und digitale Projektoren.
Badbox Botnet Resconds und infizieren weltweit eine Million Android -Geräte
Der anfängliche Ausbruch von Badbox ereignete sich im Jahr 2023, an dem nicht im Internet betroffene Fernsehgeräte aus der Brand-Marke beteiligt waren, die an einem großen Ad-aus-Programm namens Peachpit teilnahmen, wobei ungefähr 74.000 Geräte am ersten Cluster beteiligt waren. Badbox 2.0 richtet sich an Geräte, die das Android Open Source Project (AOSP) ausführen, und hat sich nun auf etwa eine Million Geräte in über 220 Ländern ausgeweitet.
Gavin Reid, Ciso der menschlichen Sicherheit, erklärt Dass die Betreiber des Botnetzes häufig in die Lieferkette manipulieren, indem sie kostengünstige Hardware kaufen, sie rebeln und böswilligen Code in Firmware oder beliebte Apps einbetten, die dann an Verbraucher verkauft werden. Es wurden mehr als 200 Apps, die mit dem Botnetz verbundenes Malware enthalten sind, entdeckt, hauptsächlich in Android-App-Stores von Drittanbietern gehostet, wobei häufig legitime Anwendungen aus dem Google Play Store nachgebildet werden, um Benutzer zum Herunterladen zu täuschen.
„Das Badbox 2.0 -Schema ist größer und weitaus schlechter als das, was wir 2023 gesehen haben“, erklärte Reid und hebt die Zunahme der gezielten Gerätetypen und die Komplexität der verwendeten Betrugsmechanismen hervor. Das Netzwerk hat seit dem Wiederaufleben des Botnetzes im vergangenen Herbst den Verkehr aus 222 Ländern und Territorien hergestellt.
Die Monetarisierung dieses Botnetzes beinhaltet versteckte Anzeigenansichten und AD-Click-Betrug, die effektiv getarnt sind, um die Erkennung zu entgehen. Lindsay Kaye, Vizepräsident von Threat Intelligence bei Human Security, stellte fest, dass die Betreiber des Botnetzes ihre betrügerischen Absichten verbergen, indem sie den realen Verkehr mit illegalen Aktivitäten von infizierten Haushalten einmischten, was die Erkennung durch Werbetworks erheblich mehr herausfordernd machte.
Neben Anzeigenbetrug stellt die Malware auch Risiken wie Passworddiebstahl und Potenzial für Denial-of-Service-Angriffe dar. Auf seinem Höhepunkt infizierte Badbox 2.0 fast eine Million Geräte, aber diese Zahl wurde aufgrund der Bemühungen der menschlichen Sicherheit, Google, Trend Micro und ShadowServer Foundation um die Hälfte reduziert, die mehrere Befehls- und Kontrollserver mit der Verwaltung des Botnetzes identifizierten und herunterfahren.
Kaye gab an, dass die Malware in ihrer Entwicklungsphase gefangen wurde, wobei viele Module als „Test“ bezeichnet wurden. Trotzdem gibt es Bedenken hinsichtlich der Möglichkeit der Wiederbelebung des Botnetzes, ähnlich wie bei früheren Vorfällen nach der Entdeckung des ursprünglichen Badbox -Netzwerks. Von Badbox 2.0 betroffene Geräte werden hauptsächlich in China hergestellt, wobei einige Berichten zufolge in öffentlichen Schulen in den USA eingesetzt werden
Badbox Botnet infiziert weltweit über 192.000 Android -Geräte
Im Dezember 2024 leitete Deutschlands BSI eine Störungskampagne ein, die die Kommunikation von über 30.000 infizierten Geräten auf ihre Kommando- und Kontrollserver versinkt, enthüllte jedoch bald eine weitere größere Gruppe von über 190.000 Geräten. Die Badbox 2.0-Operation nutzt die Schwachstellen der Lieferkette, bei denen Backdoor-Geräte beim Aktivieren oder Herunterladen von Marktplätzen von Drittanbietern böswilligen Code erhalten.
Zu den identifizierten Bedrohungsakteuren zählen die Salestracker Group, die Moyu Group, die Lemon Group und LongTV, was auf die gemeinsamen Bemühungen unter verschiedenen böswilligen Akteuren hinweist und Ressourcen zur Verbesserung des Betrugsbetriebs bündelt.
Um die Bedrohung zu mildern, wurden Maßnahmen zur Prävention von Anzeigenbetrug implementiert, und Googles Play-Schutzfunktionen für Badbox-assoziierte Verhaltensweisen. Es bleibt eine anhaltende Bedrohung dieser Betreiber, da sie ihre Angriffsstrategien wahrscheinlich anpassen und rekonstruieren.
Den Benutzern wird empfohlen, wachsam zu bleiben, insbesondere gegen bestimmte böswillige Anwendungen wie „zusätzliches Einkommen“ und „Schwangerschafts -Ovulation -Rechner“, die mit der Malware in Verbindung gebracht wurden. Durch die Installation einer robusten Sicherheitslösung können Android -Geräte vor den vom Badbox Botnet ausgestellten Risiken weiter schützen.
Ausgewähltes Bildnachweis: Kerem Gülen/Ideogramm
