март 7, 2025

Телевизионен шпионаж: как екраните в милиони домове се превърнаха в прозорци за хакерите

Съвместна кибероперация прекъсна окончателно каналите за комуникация между хакерите и заразените устройства.

Мрежата за киберпрестъпления BadBox, насочена към евтините Android устройства, отново претърпя сериозен удар. В резултат на съвместните действия на изследователите по сигурността от HUMAN, Google, Trend Micro и Shadowserver – 24 зловредни приложения бяха премахнати от Google Play, а половин милион заразени устройства бяха блокирани от комуникационните канали към сървърите за командване и контрол.

BadBox е ботнет, който засяга Android устройствата от нисък клас, включително декодерите (в това число X96mini и редица Mecool устройства), таблетите, телевизорите и смартфоните. Заразяването става или още на етапа на производството, или чрез инсталиране на злонамерени приложения и фърмуер. След това мобилните телефони се превръщат в инструменти за измамни схеми: те се използват като прокси сървъри, генерират фалшиви рекламни кликове, пренасочват потребителите към съмнителни уеб сайтове и участват в атаки с груба сила.

Въпреки че през декември 2023 г. германските власти проведоха операция срещу BadBox, ботнетът бързо се възстанови. Според BitSight до края на годината той вече е присъствал на поне 192 000 устройства. През следващите месеци мащабът на инфекцията е достигнал над 1 милион, обхващайки 222 държави. Най-голям брой заразени устройства има в Бразилия (37,6%), САЩ (18,2%), Мексико (6,3%) и Аржентина (5,3%).

Изследователите от HUMAN идентифицираха няколко групи, участващи в поддръжката на BadBox. Сред тях са SalesTracker, която отговаря за инфраструктурата, MoYu, която разработва задни вратички и управлява ботнета, Lemon, която използва устройствата за рекламни измами, и LongTV, която създава зловредни приложения. Тази разклонена структура обяснява устойчивостта на ботнета на опитите за ликвидиране.

При последната операция изследователите и партньорите на HUMAN иззеха контрола над редица домейни, използвани от BadBox 2.0, като прекъснаха комуникацията на повече от 500 000 устройства със сървърите за управление. Без възможност да получават нови команди, заразените телефони бяха приведени в пасивно състояние, което значително отслаби ботнета.

Освен това Google премахна 24 заразени приложения, които разпространяват BadBox, от официалния магазин. Сред тях, между другото, е бил дори калкулатор за овулация за планиране на бременността. Много от тези приложения са били изтеглени над 50 000 пъти. Отсега нататък Google Play Protect ще блокира инсталирането на такива приложения на сертифицирани Android устройства.

Въпреки усилията на киберспециалистите, едва ли е възможно да се елиминира напълно BadBox 2.0, тъй като ботнетът заразява основно устройства с Android Open Source Project (AOSP), които нямат поддръжка на Google Play Services. На собствениците на такива устройства се препоръчва да ги заменят с модели от надеждни производители. В противен случай те трябва да бъдат изключени от интернет, за да се сведат до минимум рисковете.

source

Сподели: