Ponad 1 Milion Urządzeń z Androidem Zagrożonych przez Ukryte Drzwi Serwisowe

Zespół badaczy ds. cyberbezpieczeństwa odkrył i częściowo zakłócił działanie dużej skali operacji oszustwa o nazwie BADBOX 2.0, w którą zaangażowany był botnet obejmujący ponad milion zainfekowanych urządzeń opartych na systemie Android.

Operacja, będąca ewolucją oryginalnej kampanii BADBOX ujawnionej w 2023 roku, opierała się na preinstalowanych tylnych drzwiach w tanich, niecertyfikowanych urządzeniach konsumenckich, które ułatwiały działania cyberprzestępców.

Śledztwo śledztwo, prowadzone przez zespół Satori Threat Intelligence and Research firmy HUMAN we współpracy z Google, Trend Micro, Shadowserver i innymi partnerami, ujawniło mocne dowody łączące sprawców za BADBOX z ekspansją schematu BADBOX 2.0.

Ten schemat jest rozwinięciem oryginalnej operacji BADBOX ujawnionej w 2023 roku i reprezentuje najbardziej rozbudowaną sieć botnet zainfekowanych podłączonych urządzeń telewizyjnych (CTV), jaką kiedykolwiek zidentyfikowano, kompromitując ponad milion niecertyfikowanych, tanich urządzeń Android na całym świecie.

BADBOX 2.0 wykorzystuje luki w elektronice użytkowej, takiej jak tablety no-name, skrzynki CTV i cyfrowe projektory, aby zdalnie wdrażać moduły oszustw. Te urządzenia łączą się z serwerami dowodzenia i kontroli (C2), prowadzonymi przez różne grupy cyberprzestępcze.

Infekcja rozprzestrzenia się poprzez skompromitowane łańcuchy dostaw, preinstalowane oprogramowanie szkodliwe lub pobieranie aplikacji od stron trzecich, co pozwala napastnikom przejąć kontrolę nad urządzeniami nieświadomych użytkowników.

Po zarażeniu, te urządzenia stają się częścią ogromnej sieci botnet używanej do działalności oszukańczej. Atakujący wykorzystują je do oszustw związanych z reklamami, uruchamiając ukryte reklamy i symulując zaangażowanie, do oszustw kliknięć przez kierowanie ruchu do fałszywych domen oraz do automatycznego przeglądania w celu sztucznego zwiększania ruchu na stronach internetowych.

Botnet umożliwia również cyberprzestępcom sprzedaż dostępu do zarażonych adresów IP urządzeń na potrzeby usług proxy mieszkańców, co ułatwia przejęcie kont, tworzenie fałszywych kont i obejście systemów uwierzytelniania.

Dodatkowo, skompromitowane urządzenia są wykorzystywane w atakach DDoS, dystrybucji malware oraz kradzieży jednorazowych haseł (OTP), co umożliwia atakującym przejęcie kont użytkowników.

Malware napędzający BADBOX 2.0 manipuluje zachowaniem użytkownika i miarami zaangażowania poprzez ukryte reklamy i automatyczne przeglądanie, generując fałszywe przychody z reklam i zniekształcając ekosystem reklamowy w świecie cyfrowym.

Badacze HUMAN zidentyfikowali cztery główne grupy cyberprzestępcze zaangażowane w operację. Grupa SalesTracker zarządzała infrastrukturą BADBOX i jej rozbudową, podczas gdy Grupa MoYu opracowała backdoor, obsługiwała botnet i prowadziła kampanię oszustw związanych z kliknięciami.

Grupa Lemon była powiązana z usługami proxy dla mieszkańców i oszukańczymi stronami internetowymi z grami online, a LongTV opracowała szkodliwe aplikacje CTV, aby ułatwić ukryte oszustwa reklamowe.

HUMAN i jej partnerzy zakłócili kluczowe elementy BADBOX 2.0, monitorując jego infrastrukturę i podejmując skierowane działania. Google usunął konta wydawców powiązanych z BADBOX i wzmocnił Google Play Protect, aby blokować powiązane z nim złośliwe oprogramowanie podczas instalacji.

Aby zminimalizować ryzyko, zaleca się użytkownikom sprawdzenie, czy ich urządzenia są certyfikowane przez Google Play Protect i unikanie niecertyfikowanych urządzeń Android.