Телевизор-шпион: как экраны в миллионе домов стали окнами для хакеров
NewsMakerСовместная кибероперация навсегда обрубила каналы связи между хакерами и заражёнными гаджетами.
Киберпреступная сеть BadBox, нацеленная на дешёвые Android-устройства, вновь подверглась масштабному разгрому. В результате совместных действий исследователей безопасности из HUMAN, Google, Trend Micro и Shadowserver — из Google Play были удалены 24 вредоносных приложения, а для полумиллиона инфицированных устройств заблокированы каналы связи с командными серверами.
BadBox представляет собой ботнет, который поражает бюджетные Android-устройства, включая ТВ-приставки (включая X96mini и ряд устройств Mecool), планшеты, телевизоры и смартфоны. Заражение происходит либо ещё на этапе производства, либо через установку вредоносных приложений и прошивок. После этого устройства становятся инструментами для мошеннических схем: они используются как прокси-серверы, генерируют ложные рекламные клики, перенаправляют пользователей на сомнительные сайты и участвуют в брутфорс-атаках.
Несмотря на то, что в декабре 2023 года немецкие власти провели операцию по борьбе с BadBox, ботнет быстро восстановился. По данным BitSight, к концу года он уже присутствовал как минимум на 192 000 устройств. За последующие месяцы масштабы заражения достигли более 1 миллиона, охватив 222 страны. Наибольшее число инфицированных устройств зарегистрировано в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
Исследователи HUMAN выявили сразу несколько групп, задействованных в поддержке BadBox. В их число входят SalesTracker, отвечающая за инфраструктуру, MoYu, разрабатывающая бэкдоры и управляющая ботнетом, Lemon, использующая устройства для рекламного мошенничества, и LongTV, занимающаяся созданием вредоносных приложений. Эта разветвлённая структура объясняет устойчивость ботнета к попыткам ликвидации.
В ходе последней операции исследователи HUMAN совместно с партнёрами перехватили контроль над рядом доменов, используемых BadBox 2.0, что лишило более 500 000 устройств связи с управляющими серверами. Без возможности получать новые команды инфицированные гаджеты были переведены в пассивное состояние, что значительно ослабило ботнет.
Дополнительно Google удалил 24 заражённых приложения, распространявших BadBox, из официального магазина. Среди них, к слову, был даже калькулятор овуляции для планирования беременности. Многие из этих приложений скачали свыше 50 000 раз. Отныне Google Play Protect будет блокировать установку подобных приложений на сертифицированные устройства Android.
Несмотря на все усилия киберэкспертов, полностью устранить BadBox 2.0 едва ли возможно, поскольку ботнет в основном заражает устройства на базе Android Open Source Project (AOSP), не имеющие поддержки Google Play Services. Владельцам таких гаджетов рекомендуется заменить их на модели от проверенных производителей. В противном случае их следует отключить от интернета, чтобы минимизировать риски.
Киберпреступная сеть BadBox, нацеленная на дешёвые Android-устройства, вновь подверглась масштабному разгрому. В результате совместных действий исследователей безопасности из HUMAN, Google, Trend Micro и Shadowserver — из Google Play были удалены 24 вредоносных приложения, а для полумиллиона инфицированных устройств заблокированы каналы связи с командными серверами.
BadBox представляет собой ботнет, который поражает бюджетные Android-устройства, включая ТВ-приставки (включая X96mini и ряд устройств Mecool), планшеты, телевизоры и смартфоны. Заражение происходит либо ещё на этапе производства, либо через установку вредоносных приложений и прошивок. После этого устройства становятся инструментами для мошеннических схем: они используются как прокси-серверы, генерируют ложные рекламные клики, перенаправляют пользователей на сомнительные сайты и участвуют в брутфорс-атаках.
Несмотря на то, что в декабре 2023 года немецкие власти провели операцию по борьбе с BadBox, ботнет быстро восстановился. По данным BitSight, к концу года он уже присутствовал как минимум на 192 000 устройств. За последующие месяцы масштабы заражения достигли более 1 миллиона, охватив 222 страны. Наибольшее число инфицированных устройств зарегистрировано в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
Исследователи HUMAN выявили сразу несколько групп, задействованных в поддержке BadBox. В их число входят SalesTracker, отвечающая за инфраструктуру, MoYu, разрабатывающая бэкдоры и управляющая ботнетом, Lemon, использующая устройства для рекламного мошенничества, и LongTV, занимающаяся созданием вредоносных приложений. Эта разветвлённая структура объясняет устойчивость ботнета к попыткам ликвидации.
В ходе последней операции исследователи HUMAN совместно с партнёрами перехватили контроль над рядом доменов, используемых BadBox 2.0, что лишило более 500 000 устройств связи с управляющими серверами. Без возможности получать новые команды инфицированные гаджеты были переведены в пассивное состояние, что значительно ослабило ботнет.
Дополнительно Google удалил 24 заражённых приложения, распространявших BadBox, из официального магазина. Среди них, к слову, был даже калькулятор овуляции для планирования беременности. Многие из этих приложений скачали свыше 50 000 раз. Отныне Google Play Protect будет блокировать установку подобных приложений на сертифицированные устройства Android.
Несмотря на все усилия киберэкспертов, полностью устранить BadBox 2.0 едва ли возможно, поскольку ботнет в основном заражает устройства на базе Android Open Source Project (AOSP), не имеющие поддержки Google Play Services. Владельцам таких гаджетов рекомендуется заменить их на модели от проверенных производителей. В противном случае их следует отключить от интернета, чтобы минимизировать риски.