El equipo de investigación Satori de Human Security ha informado el resurgimiento de Badbox Botnet, ahora impulsado por hasta un millón de dispositivos Android infectados. Esta variante del malware Badbox controlable se ha identificado en varios hardware fuera de la marca, incluidos teléfonos Android baratos, cajas de TV conectadas, tabletas y proyectores digitales.
Badbox Botnet resurgió, infectando un millón de dispositivos Android en todo el mundo
El brote inicial de Badbox ocurrió en 2023, que involucró a los dispositivos de TV con conexión a Internet con android fuera de marca que participaron en un gran esquema AD-Fraud llamado Peachpit, con aproximadamente 74,000 dispositivos involucrados en el primer clúster. Badbox 2.0 apunta a los dispositivos que ejecutan el Proyecto de código abierto de Android (AOSP) y ahora se ha extendido a aproximadamente un millón de dispositivos en más de 220 países.
Gavin Reid, Ciso de Seguridad Humana, explicado Que los operadores de Botnet a menudo manipulan la cadena de suministro comprando hardware económico, recuperándolo e integrar el código malicioso en el firmware o las aplicaciones populares, que luego se venden a los consumidores. Se han descubierto más de 200 aplicaciones que contienen malware asociadas con Botnet, alojadas principalmente en tiendas de aplicaciones de Android de terceros, a menudo replicando aplicaciones legítimas de Google Play Store para engañar a los usuarios para que la descarguen.
«El esquema Badbox 2.0 es más grande y mucho peor que lo que vimos en 2023», declaró Reid, destacando el aumento de los tipos de dispositivos dirigidos y la complejidad de los mecanismos de fraude empleados. La red ha producido tráfico de 222 países y territorios desde el resurgimiento de la botnet el otoño pasado.
La monetización de esta botnet implica vistas de anuncios ocultos y fraude en el clic AD, disfrazada de manera efectiva para evadir la detección. Lindsay Kaye, vicepresidente de inteligencia de amenazas en Seguridad Humana, señaló que los operadores de la botnet ocultan sus intenciones fraudulentas al intercalar el tráfico real con actividades ilícitas de los hogares infectados, lo que hace que la detección de las redes publicitarias sea significativamente más desafiante.
Además del fraude publicitario, el malware también plantea riesgos como el robo de contraseña y el potencial para ataques de denegación de servicio. En su punto máximo, Badbox 2.0 infectó casi un millón de dispositivos, pero este número se ha reducido a la mitad debido a los esfuerzos de la seguridad humana, Google, Trend Micro y Showowserver Foundation, quienes identificaron y apagan varios servidores de comando y control que administran el botón.
Kaye indicó que el malware fue atrapado en su fase de desarrollo, con muchos módulos etiquetados como «prueba». A pesar de esto, existen preocupaciones sobre la posibilidad del avivamiento de Botnet, similar a los incidentes anteriores después del descubrimiento de la red original de Badbox. Los dispositivos afectados por Badbox 2.0 se fabrican principalmente en China, y se utilizan algunos utilizados en las escuelas públicas en los Estados Unidos.
Badbox Botnet infecta a más de 192,000 dispositivos Android en todo el mundo
En diciembre de 2024, el BSI de Alemania inició una campaña de interrupción que hundió las comunicaciones de más de 30,000 dispositivos infectados a sus servidores de comando y control, pero pronto descubrió otro grupo más grande de más de 190,000 dispositivos. La operación Badbox 2.0 explota vulnerabilidades de la cadena de suministro, donde los dispositivos traseros reciben código malicioso tras la activación o la descarga de los mercados de terceros.
Los actores de amenaza identificados incluyen el Grupo Salestracker, Moyu Group, Lemon Group y LongTV, lo que indica esfuerzos de colaboración entre actores maliciosos distintos, agrupando recursos para mejorar la operación de fraude.
Para mitigar la amenaza, se implementaron medidas de prevención de fraude publicitaria, y la obra de Google protegió las capacidades de detección adicionales para los comportamientos asociados a Badbox. Sigue habiendo una amenaza persistente de estos operadores, ya que es probable que se adapten y reconstruyan sus estrategias de ataque.
Se aconseja a los usuarios que permanezcan vigilantes, especialmente contra ciertas aplicaciones maliciosas, como ‘ganar ingresos adicionales’ y ‘Calculadora de ovulación de embarazo’, que se han vinculado al malware. Instalar una solución de seguridad robusta puede proteger aún más los dispositivos Android de los riesgos que plantea la botnet Badbox.
Crédito de imagen destacado: Kerem Gülen/ideograma
