A botnet de malware Android BadBox cresceu para mais de 192.000 dispositivos infectados em todo o mundo, apesar de uma recente operação de sinkhole que tentou interromper a operação na Alemanha.
Pesquisadores da BitSight alertam que o malware parece ter expandido seu escopo de alvos para além de dispositivos Android chineses sem marca, infectando agora marcas mais conhecidas e confiáveis como TVs Yandex e smartphones Hisense.
O BadBox é um malware Android que se acredita ser baseado na família de malware 'Triada', infectando dispositivos fabricados por fabricantes obscuros, seja através de ataques à cadeia de suprimentos em seu firmware, funcionários mal-intencionados ou através de injeções realizadas à medida que entram na fase de distribuição do produto.
Foi descoberto pela primeira vez em uma caixa de TV Android T95 comprada na Amazon pelo consultor de segurança canadense Daniel Milisic no início de 2023.
Desde então, a operação de malware se expandiu para outros produtos sem marca vendidos online.
O objetivo da campanha BadBox é o ganho financeiro, que é alcançado transformando o dispositivo em um proxy residencial ou usando-o para realizar fraudes de anúncios.
Esses proxies residenciais podem então ser alugados para outros usuários, em muitos casos cibercriminosos, que usam seu dispositivo como proxy para conduzir ataques ou outras atividades fraudulentas.
Além disso, o malware BadBox pode ser usado para instalar payloads maliciosos adicionais em dispositivos Android, permitindo operações mais perigosas.
Na semana passada, o Bundesamt für Sicherheit in der Informationstechnik (BSI) da Alemanha anunciou que interrompeu a operação de malware BadBox no país depois de realizar o sinkhole de um dos servidores de comando e controle do malware, cortando a comunicação para 30.000 dispositivos Android.
Esses dispositivos eram principalmente molduras digitais para fotos baseadas em Android e caixas de streaming de mídia, mas o BSI alertou que é muito provável que o BadBox esteja presente em mais categorias de produtos.
O novo relatório da BitSight confirma que a operação BadBox continuou a crescer apesar da ação policial da Alemanha, com pesquisadores encontrando o malware Android instalado em 192.000 TVs e smartphones.
De acordo com o pesquisador da BitSight, Pedro Falé, a empresa de cibersegurança conseguiu realizar o sinkhole de um dos servidores de comando e controle usados pela operação de malware BadBox.
Como os pesquisadores agora controlam o domínio, eles podem ver quando os dispositivos tentam se conectar a ele, permitindo-lhes ver quantos endereços IP únicos são impactados.
"A realidade é que o BADBOX ainda parece estar muito vivo e se espalhando", escreveu Falé.
Isso ficou evidente quando a BitSight conseguiu realizar o sinkhole de um domínio BADBOX, registrando mais de 160.000 IPs únicos em um período de 24 horas.
Um número que tem crescido constantemente.
O número de dispositivos detectados é muito maior do que o que foi anteriormente considerado o pico para esta botnet, em torno de 74.000 dispositivos comprometidos.
Aproximadamente 160.000 dos dispositivos infectados são a Yandex 4K QLED Smart TV, que é muito popular na Rússia, e o smartphone Hisense T963.
"Os modelos [impactados] que variam de YNDX-00091 a YNDX-000102 são Smart TVs 4K de uma marca bem conhecida, não são caixas de TV Android baratas", explica a BitSight.
"É a primeira vez que uma Smart TV de uma grande marca é vista se comunicando diretamente em tal volume com um domínio de comando e controle (C2) BadBox, ampliando o escopo de dispositivos afetados para além de caixas de TV Android, tablets e smartphones."
Os dispositivos detectados pela BitSight estão localizados principalmente na Rússia, China, Índia, Belarus, Brasil e Ucrânia.
A BitSight também relata que a recente operação do BSI não afetou seus dados de telemetria, já que a ação foi geograficamente limitada, permitindo que a operação de malware Android BadBox continue inabalável.
Com o BadBox expandindo para mais marcas importantes, é crucial para os consumidores aplicarem as últimas atualizações de segurança de firmware, isolar seus dispositivos inteligentes de sistemas mais críticos e desconectá-los da internet quando não estiverem em uso.
No entanto, se não houver atualizações de segurança ou firmware disponíveis para o seu dispositivo, recomenda-se fortemente que você o desconecte de sua rede ou o desligue completamente.
Sinais de uma infecção pela botnet BadBox incluem superaquecimento e quedas de desempenho devido ao alto uso do processador, tráfego de rede atípico e alterações nas configurações do dispositivo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...