Botnet BadBox rozszerza się na ponad 192 000 urządzeń na całym świecie

Mimo niedawnej operacji policyjnej w Niemczech, mającej na celu udaremnienie kampanii złośliwego oprogramowania BadBox, botnet Androida znacznie się rozrósł i zainfekował ponad 192 000 urządzeń na całym świecie. Jak podaje serwis BleepingComputer, eksperci ds. cyberbezpieczeństwa ujawnili, że zasięg złośliwego oprogramowania obejmuje teraz również urządzenia znanych marek.

Szerszy zakres kierowania

BadBox początkowo ograniczał się do tanich, podrobionych urządzeń z Androidem. Jednak ostatnie wydarzenia pokazały, że malware zinfiltrował również zaufane marki.

Badacze ds. bezpieczeństwa podejrzewają, że ten niepokojący rozwój sytuacji jest spowodowany manipulacją wewnętrzną, atakami na łańcuch dostaw oprogramowania sprzętowego lub wstrzyknięciem złośliwego oprogramowania podczas dystrybucji produktu.

Początki i ewolucja BadBox botnet

Uważa się, że BadBox wywodzi się z rodziny złośliwego oprogramowania Triada. Po raz pierwszy pojawił się na początku 2023 roku, gdy badacze odkryli go na dekoderze T95 z systemem Android TV.

Główna funkcjonalność złośliwego oprogramowania opiera się na zombifikacji urządzeń, zamieniając je w proxy mieszkaniowe i dokonując oszustw reklamowych. Proxy mieszkaniowe umożliwiają sprawcom zagrożeń zaciemnianie ich działań, podczas gdy oszustwa reklamowe symulują interakcje reklamowe w celu generowania nielegalnych przychodów. Co gorsza, BadBox ułatwia również instalację dalszych złośliwych ładunków, rozprzestrzeniając i wzmacniając jego niszczycielskie możliwości.

Zagrożenie na dużą skalę

Badacze wcześniej oszacowali, że szczyt zainfekowanych BadBox urządzeń wyniósł 74 000. Jednak niedawne dochodzenie wykazało, że malware zgromadził ponad 192 000 zainfekowanych systemów na całym świecie. Warto wspomnieć, że większość zakażeń odnotowano w Chinach, Indiach, Rosji, Brazylii, Białorusi i Ukrainie.

Eksperci ds. cyberbezpieczeństwa zastosowali taktykę zwaną sinkholingiem, aby przekierować ruch z jednego z serwerów kontroli i dowodzenia (C2) BadBox i monitorować połączenia przychodzące z zainfekowanych urządzeń.

W ciągu 24 godzin odnotowano próby połączeń z ponad 160 000 unikalnych adresów IP, co pozwoliło badaczom przypuszczać, że złośliwe oprogramowanie nie tylko jest aktywne, ale także się rozprzestrzenia.

Ostatnie działania Niemiec przeciwko BadBox

W zeszłym tygodniu Federalny Urząd Bezpieczeństwa Informacji (BSI) zakłócił działanie serwera BadBox C2, przerywając komunikację około 30 000 urządzeń z systemem Android na terenie kraju. Chociaż operacja była lokalnym zwycięstwem, ledwie wpłynęła na kampanię malware na większą skalę. Ograniczony zasięg geograficzny przedsięwzięcia pozwolił BadBox na prowadzenie złośliwych działań w innych regionach bez przeszkód.

Wskaźniki zagrożenia i środki ochronne

Konsumenci powinni zwracać uwagę na oznaki infekcji BadBox, które mogą obejmować:

• Przegrzanie: Spowodowane wysokim wykorzystaniem procesora.
• Skoki wydajności: powolne działanie i nieoczekiwane awarie aplikacji.
• Podejrzany ruch sieciowy: Nietypowe wzorce wykorzystania danych lub połączenia z nieznanymi serwerami.
• Modyfikacje konfiguracji: Modyfikacje ustawień systemu bez udziału użytkownika.

Użytkownicy powinni podjąć następujące kroki, aby ograniczyć ryzyko narażenia na złośliwe oprogramowanie BadBox:

• Nadaj priorytet instalowaniu aktualizacji oprogramowania sprzętowego: Upewnij się, że wszystkie urządzenia działają na najnowszych wersjach oprogramowania.
• Izoluj inteligentne urządzenia: Oddziel potencjalnie podatne urządzenia od krytycznych systemów w sieci.
• Odłącz się, gdy nie korzystasz z Internetu: Zminimalizuj narażenie, wyłączając urządzenia lub odłączając je od Internetu.
• Wycofaj stare lub nieobsługiwane urządzenia: Jeśli aktualizacje są niedostępne, rozważ odłączenie lub całkowitą wymianę urządzenia.
• Zabezpiecz wszystkie swoje urządzenia za pomocą antywirusa: Oprogramowanie Bitdefender wykryje wszelkie niebezpieczne złośliwe oprogramowania i ochroni Cię przed botnetami.
•