人类安全的Satori研究团队报告说,Badbox Botnet的复兴,现在由多达一百万个受感染的Android设备提供动力。在各种非品牌硬件中已经确定了可遥控的BadBox恶意软件的这种变体,包括廉价的Android手机,连接的电视盒,平板电脑和数字投影仪。
Badbox Botnet重新浮出水面,感染全球一百万个Android设备
Badbox的最初爆发发生在2023年,涉及非品牌驱动的互联网连接的电视设备,该电视设备参与了一个名为Peachpit的大型广告方案,其中大约有74,000个设备参与了第一个集群。 Badbox 2.0目标设备运行Android开源项目(AOSP),现在已经在220多个国家 /地区扩展到约100万个设备。
人类安全的CISO加文·里德(Gavin Reid), 解释了 僵尸网络的操作员经常通过购买廉价的硬件,重新构造它并将恶意代码嵌入固件或流行应用程序中,以篡改供应链,然后将其出售给消费者。已经发现了200多个包含与僵尸网络相关的恶意软件的应用程序,主要由第三方Android应用商店托管,通常会从Google Play商店复制合法应用程序,以欺骗用户下载它们。
里德说:“ Badbox 2.0方案比我们在2023年所看到的更大,远远差。自去年秋天僵尸网络复兴以来,该网络已经从222个国家和地区产生了流量。
该僵尸网络的货币化涉及隐藏的广告视图和广告单打欺诈,并有效地伪装以逃避检测。人类安全威胁情报副总裁林赛·凯(Lindsay Kaye)指出,僵尸网络的运营商通过将真实的流量与受感染家庭的非法活动散布在一起,从而掩盖了他们的欺诈性意图,从而通过广告网络发现了更具挑战性的发现。
除了广告欺诈之外,恶意软件还带来了诸如密码盗窃和拒绝服务攻击的潜力之类的风险。在其顶峰上,Badbox 2.0感染了近一百万个设备,但由于人类安全,Google,趋势微型和Shadowserver Foundation的努力,该数字已减少了一半,后者确定并关闭了几个管理BotNet的命令和控制服务器。
凯(Kaye)表示,恶意软件被捕获在其发育阶段,许多模块都标有“测试”。尽管如此,仍然担心僵尸网络复兴的可能性,类似于发现原始Badbox网络后的先前事件。受Badbox 2.0影响的设备主要在中国生产,据报道,其中一些用于美国的公立学校
Badbox Botnet感染了全球192,000多个Android设备
2024年12月,德国的BSI发起了一场破坏运动,从30,000多个受感染设备到其指挥和控制服务器,但很快发现了另一组超过190,000个设备。 Badbox 2.0操作利用了供应链漏洞,在激活或从第三方市场下载后,后门设备会在其中收到恶意代码。
确定的威胁参与者包括Salestracker Group,Moyu Group,Lemon Group和LongTV,表明在不同的恶意参与者之间进行了合作努力,从而汇集了改善欺诈行动的资源。
为了减轻威胁,实施了AD欺诈措施,Google的Play Prove Prove Prove Prove for Badbox相关行为附加了检测功能。这些运营商可能会适应和重建其攻击策略,因此仍然存在持续的威胁。
建议用户保持警惕,尤其是针对某些恶意应用,例如“额外收入”和“妊娠排卵计算器”,这些应用与恶意软件有关。安装强大的安全解决方案可以进一步保护Android设备免受Badbox Botnet带来的风险。
特色图片来源: KeremGülen/意识形态图
