O Escritório Federal de Segurança da Informação da Alemanha (BSI) anunciou que conseguiu desarticular uma operação de malware conhecida como BADBOX, que veio pré-instalada em pelo menos 30.000 dispositivos conectados à internet vendidos por todo o país.
Em um comunicado divulgado no início desta semana, as autoridades disseram que interromperam a comunicação entre os dispositivos e seus servidores de comando e controle (C2) realizando o sinkhole dos domínios em questão.
Os dispositivos impactados incluem quadros digitais, players de mídia e streamers, e provavelmente telefones e tablets.
"O que todos esses dispositivos têm em comum é que eles vieram com versões desatualizadas do Android e foram entregues com malware pré-instalado," disse o BSI em um comunicado à imprensa.
O BADBOX foi documentado pela primeira vez pela equipe de Inteligência e Pesquisa de Ameaças da Satori, da HUMAN, em outubro de 2023, descrevendo-o como um "complexo esquema de ator de ameaça" que envolve a implantação do malware para Android, Triada, em dispositivos Android de baixo custo e de marcas menos conhecidas, explorando pontos fracos da cadeia de suprimentos.
Uma vez conectado à internet, o malware incorporado nos dispositivos pode coletar uma ampla gama de dados, como códigos de autenticação, e instalar malware adicional.
A operação, avaliada como operando a partir da China, também compreende um botnet de fraude de anúncios chamado PEACHPIT, projetado para spoofar aplicativos populares de Android e iOS e seu próprio tráfego fraudulento proveniente dos dispositivos infectados pelo BADBOX através dos aplicativos.
As impressões falsas são então vendidas através de publicidade programática.
"Esse ciclo completo de fraude de anúncio significa que eles estavam ganhando dinheiro com as impressões de anúncios falsas em seus próprios aplicativos fraudulentos e spoofados," disse a HUMAN na época.
Qualquer pessoa pode acidentalmente comprar um dispositivo BADBOX online sem nunca saber que era falso, conectá-lo e, sem saber, abrir essa porta dos fundos para o malware.
O BSI afirmou que os dispositivos comprometidos pelo BADBOX também são capazes de agir como um serviço de proxy residencial, permitindo que outros atores de ameaças encaminhem seu tráfego de internet por eles enquanto evitam a detecção.
Eles também poderiam ser usados para criar contas online no Gmail e no WhatsApp.
Além de instruir todos os provedores de internet no país com mais de 100.000 assinantes a redirecionar o tráfego para o sinkhole, a agência está instando os consumidores a desconectarem os dispositivos afetados da internet com efeito imediato.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...