A botnet de malware para Android BadBox foi interrompida novamente após a remoção de 24 aplicativos maliciosos da Google Play e o sinkholing das comunicações de meio milhão de dispositivos infectados.
A botnet BadBox é uma operação de cibergolpe que visa principalmente dispositivos baseados em Android de baixo custo, como caixas de streaming de TV, tablets, smart TVs e smartphones.
Esses dispositivos ou vêm pré-carregados com o malware BadBox pelo fabricante ou são infectados por aplicativos maliciosos ou downloads de firmware.
O malware então transforma os dispositivos em proxies residenciais, gera impressões de anúncios falsos nos dispositivos infectados, redireciona usuários para domínios de baixa qualidade como parte de operações fraudulentas de distribuição de tráfego, e usa os IPs das pessoas para criar contas falsas e realizar ataques de credential stuffing.
Em dezembro passado, autoridades alemãs interromperam o malware para dispositivos infectados no país.
Porém, alguns dias depois, a BitSight relatou que o malware havia sido encontrado em pelo menos 192.000 dispositivos, mostrando resiliência contra ações das autoridades.
Desde então, estima-se que a botnet tenha crescido para mais de 1.000.000 de infecções, afetando dispositivos Android em 222 países, com a maioria localizada no Brasil (37,6%), nos Estados Unidos (18,2%), no México (6,3%) e na Argentina (5,3%).
A equipe de Inteligência de Ameaças Satori da HUMAN liderou a última operação de interrupção em colaboração com a Google, Trend Micro, a Fundação Shadowserver e outros parceiros.
Devido à inflação súbita do tamanho da botnet, a HUMAN agora a chama de 'BadBox 2.0', indicando uma nova era em sua operação.
"Esse esquema impactou mais de 1 milhão de dispositivos consumidores. Os dispositivos conectados à operação BADBOX 2.0 incluíam tablets de ponto de preço mais baixo, 'de marca alternativa', caixas de TV conectadas (CTV), projetores digitais e mais", explica a HUMAN.
Os dispositivos infectados são dispositivos do Projeto Android Open Source, não dispositivos Android TV OS ou dispositivos Android certificados pelo Play Protect.
Todos esses dispositivos são fabricados na China continental e enviados globalmente; de fato, a HUMAN observou tráfego associado ao BADBOX 2.0 de 222 países e territórios em todo o mundo.
A HUMAN afirma ter encontrado evidências de que a botnet atende e é suportada por vários grupos de ameaças com papéis ou benefícios distintos.
Esses grupos são SalesTracker (gerenciamento de infraestrutura), MoYu (desenvolvimento de backdoor e botnet), Lemon (campanhas de fraude de anúncios) e LongTV (desenvolvimento de aplicativos maliciosos).
Dispositivos Android infectados pelo malware BadBox se conectam rotineiramente a servidores de comando e controle controlados pelos atacantes para receber novas configurações e comandos para executar no dispositivo infectado.
A HUMAN informou que, em parceria com a Fundação Shadowserver, os pesquisadores sinkholaram um número não divulgado de domínios BADBOX 2.0 para impedir que mais de 500.000 dispositivos infectados se comunicassem com servidores de comando e controle (C2) configurados pelos atores de ameaças.
Quando um domínio é sinkholado, ele é assumido pelos pesquisadores, permitindo que eles monitorem todas as conexões feitas por dispositivos infectados a esse domínio e coletam dados sobre a botnet.
Como os dispositivos infectados não podem mais se conectar com domínios controlados pelos atacantes, o malware é colocado em um estado dormente, interrompendo efetivamente a infecção.
A HUMAN também descobriu 24 aplicativos Android na loja oficial, Google Play, que instalavam o malware BadBox em dispositivos Android.
Alguns aplicativos, como 'Earn Extra Income' e 'Pregnancy Ovulation Calculator' da Seekiny Studio, tiveram mais de 50.000 downloads cada.
A Google removeu os aplicativos da Google Play e adicionou uma regra de aplicação do Play Protect para alertar os usuários e bloquear a instalação de aplicativos associados ao BadBox 2.0 em dispositivos Android certificados.
Além disso, a gigante da tecnologia encerrou contas de publicadores que se envolveram em fraude de anúncios associada à operação BadBox, impedindo a monetização por meio do Google Ads.
No entanto, é importante notar que a Google não pode desinfectar dispositivos Android não certificados pelo Play Protect vendidos globalmente, então, embora o BadBox 2.0 tenha sido interrompido, ele não foi eliminado.
Em última análise, enquanto os consumidores comprarem dispositivos Android baseados em AOSP, como caixas de TV de marcas alternativas, que não contam com o suporte oficial dos Serviços Google Play, eles correm o risco de usar hardware pré-carregado com malware.
A lista de dispositivos conhecidos por serem impactados pelo malware BadBox é listada abaixo:
Em resposta à interrupção, a Google compartilhou a seguinte declaração:
"Agradecemos a colaboração com a HUMAN para agir contra a operação BADBOX e proteger os consumidores contra fraudes. Os dispositivos infectados são dispositivos do Projeto Android Open Source, não dispositivos Android TV OS ou dispositivos Android certificados pelo Play Protect", diz Shailesh Saini, Diretor de Segurança e Privacidade do Android & Engineering & Assurance da Google.
Se um dispositivo não é certificado pelo Play Protect, a Google não tem registro dos resultados de testes de segurança e compatibilidade.
Dispositivos Android certificados pelo Play Protect passam por testes extensos para garantir qualidade e segurança ao usuário.
Os usuários devem garantir que o Google Play Protect, a proteção contra malware do Android que está ativada por padrão em dispositivos com os Serviços Google Play, esteja habilitada.
Se você possui algum dos dispositivos acima, é provável que não consiga obter um firmware limpo para eles.
Em vez disso, esses dispositivos devem ser substituídos por aqueles de marcas confiáveis.
Se for impossível substituir o dispositivo, ele deve ser desconectado da Internet.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...