Federalny Urząd Bezpieczeństwa Informacji (BSI) w Niemczech ogłosił, że zakłócił operację złośliwego oprogramowania o nazwie BADBOX, które było fabrycznie zainstalowane na co najmniej 30 000 urządzeń podłączonych do internetu sprzedawanych w całym kraju.
W oświadczeniu opublikowanym na początku tego tygodnia władze poinformowały, że przerwały komunikację między urządzeniami a ich serwerami dowodzenia i kontroli (C2) poprzez sinkholing domen w pytaniu. Dotknięte urządzenia obejmują cyfrowe ramki na zdjęcia, odtwarzacze multimedialne i streamery, a prawdopodobnie także telefony i tablety.
„Wszystkie te urządzenia łączy to, że mają przestarzałe wersje Androida i zostały dostarczone z fabrycznie zainstalowanym złośliwym oprogramowaniem” – powiedział BSI w komunikacie prasowym.
BADBOX został po raz pierwszy udokumentowany przez zespół Satori Threat Intelligence and Research firmy HUMAN w październiku 2023 roku, opisując go jako „złożony schemat aktora zagrożeń”, który polega na wdrażaniu złośliwego oprogramowania Triada Android na tanich, nieznanych urządzeniach z Androidem poprzez wykorzystywanie słabych ogniw w łańcuchu dostaw.
Po podłączeniu do internetu złośliwe oprogramowanie osadzone w urządzeniach może zbierać szeroki zakres danych, takich jak kody uwierzytelniające, i instalować dodatkowe złośliwe oprogramowanie.
Operacja, oceniana jako prowadzona z Chin, obejmuje również botnet oszustw reklamowych o nazwie PEACHPIT, który ma na celu fałszowanie popularnych aplikacji na Androida i iOS oraz generowanie własnego fałszywego ruchu z zainfekowanych urządzeń BADBOX za pośrednictwem aplikacji. Fałszywe wyświetlenia są następnie sprzedawane za pośrednictwem programatycznej reklamy.
„Ten kompletny cykl oszustw reklamowych oznacza, że zarabiali na fałszywych wyświetleniach reklam w swoich własnych, fałszywych aplikacjach” – powiedział wówczas HUMAN. „Każdy może przypadkowo kupić urządzenie BADBOX online, nie wiedząc, że jest fałszywe, podłączyć je i nieświadomie otworzyć to złośliwe oprogramowanie z tylnymi drzwiami”.
BSI poinformowało, że urządzenia zainfekowane przez BADBOX są również zdolne do działania jako usługa proxy dla rezydentów, umożliwiając innym aktorom zagrożeń kierowanie swojego ruchu internetowego przez nie, jednocześnie unikając wykrycia. Mogą być również wykorzystywane do tworzenia kont online na Gmailu i WhatsAppie.
Oprócz instruowania wszystkich dostawców internetu w kraju z ponad 100 000 abonentów, aby przekierowywali ruch do sinkhole, agencja wzywa konsumentów do natychmiastowego odłączenia dotkniętych urządzeń od internetu.
