A FBI está alertando que a campanha de malware BADBOX 2.0 infectou mais de 1 milhão de dispositivos conectados à Internet em residências, convertendo eletrônicos de consumo em proxies residenciais que são usados para atividades maliciosas.
O botnet BADBOX é comumente encontrado em smart TVs baseadas em Android chinesas, caixas de streaming, projetores, tablets e outros dispositivos da Internet das Coisas (IoT).
"O botnet BADBOX 2.0 consiste em milhões de dispositivos infectados e mantém numerosas backdoors para serviços de proxy que atores de cibercrime exploram vendendo ou fornecendo acesso gratuito a redes domésticas comprometidas para serem usadas em várias atividades criminosas", alerta a FBI.
Esses dispositivos vêm pré-carregados com o botnet de malware BADBOX 2.0 ou se tornam infectados após a instalação de atualizações de firmware e por meio de aplicativos Android maliciosos que conseguem entrar na Google Play e em lojas de aplicativos de terceiros.
"Cibercriminosos ganham acesso não autorizado às redes domésticas configurando o produto com software malicioso antes da compra do usuário ou infectando o dispositivo à medida que ele baixa aplicativos necessários que contêm backdoors, geralmente durante o processo de configuração", explica a FBI.
Uma vez que esses dispositivos IoT comprometidos são conectados às redes domésticas, os dispositivos infectados ficam suscetíveis a se tornarem parte do botnet BADBOX 2.0 e dos serviços de proxy residencial conhecidos por serem usados para atividades maliciosas.
Uma vez infectados, os dispositivos se conectam aos servidores de comando e controle (C2) do atacante, onde recebem comandos para executar nos dispositivos comprometidos, tais como:
Redes de Proxy Residencial: O malware direciona o tráfego de outros cibercriminosos através dos endereços IP domésticos das vítimas, mascarando a atividade maliciosa.
Fraude de Anúncio: BADBOX pode carregar e clicar em anúncios em segundo plano, gerando receita de anúncio para os atores da ameaça.
Enchimento de Credenciais: Aproveitando os IPs das vítimas, os atacantes tentam acessar contas de outras pessoas usando credenciais roubadas.
BADBOX 2.0 evoluiu do malware BADBOX original, que foi identificado pela primeira vez em 2023 depois de ser encontrado pré-instalado em caixas de TV Android baratas e sem marca, como o T95.
Ao longo dos anos, o botnet de malware continuou se expandindo até 2024, quando a agência de cibersegurança da Alemanha interrompeu o botnet no país ao sinkhole a comunicação entre dispositivos infectados e a infraestrutura do atacante, tornando o malware ineficaz.
No entanto, isso não impediu os atores da ameaça, com pesquisadores dizendo que encontraram o malware instalado em 192.000 dispositivos uma semana depois.
Ainda mais preocupante, o malware foi encontrado em marcas mais convencionais, como TVs Yandex e smartphones Hisense.
Infelizmente, apesar da interrupção anterior, o botnet continuou a crescer, com o Satori Threat Intelligence da HUMAN afirmando que mais de 1 milhão de dispositivos de consumo tinham sido infectados até março de 2025.
Este novo botnet maior agora está sendo chamado de BADBOX 2.0 para indicar um novo rastreamento da campanha de malware.
"Esse esquema impactou mais de 1 milhão de dispositivos de consumo.
Os dispositivos conectados à operação BADBOX 2.0 incluíam tablets de ponto de preço mais baixo, 'off brand', caixas de TV conectadas (CTV), projetores digitais e mais", explica a HUMAN.
Os dispositivos infectados são dispositivos do Projeto de Código Aberto Android (AOSP), não dispositivos Android TV OS ou dispositivos Android certificados por Play Protect.
Todos esses dispositivos são fabricados na China continental e enviados globalmente; de fato, a HUMAN observou tráfego associado ao BADBOX 2.0 de 222 países e territórios em todo o mundo.
Pesquisadores da HUMAN estimam que o botnet BADBOX 2.0 se espalha por 222 países, com o maior número de dispositivos comprometidos no Brasil (37,6%), nos Estados Unidos (18,2%), no México (6,3%) e na Argentina (5,3%).
Em uma operação conjunta liderada pela equipe Satori da HUMAN e Google, Trend Micro, The Shadowserver Foundation e outros parceiros, o botnet BADBOX 2.0 foi interrompido novamente para impedir que mais de 500.000 dispositivos infectados se comunicassem com os servidores do atacante.
No entanto, mesmo com essa interrupção, o botnet continua a crescer à medida que os consumidores adquirem mais produtos comprometidos e os conectam à Internet.
Uma lista de dispositivos conhecidos por serem impactados pelo malware BADBOX está listada abaixo:
Os sintomas de uma infecção por BADBOX 2.0 incluem mercados de aplicativos suspeitos, configurações de Google Play Protect desativadas, dispositivos de streaming de TV anunciados como desbloqueados ou capazes de acessar conteúdo grátis, dispositivos de marcas desconhecidas e tráfego de Internet suspeito.
Além disso, esse malware é comumente encontrado em dispositivos não certificados pelo Google Play Protect.
A FBI aconselha fortemente os consumidores a se protegerem do botnet seguindo estes passos:
Avalie todos os dispositivos IoT conectados às redes domésticas por atividades suspeitas.
Nunca baixe aplicativos de mercados não oficiais que ofereçam aplicativos de "streaming grátis".
Monitore o tráfego de Internet de entrada e saída das redes domésticas.
Mantenha todos os dispositivos em sua casa atualizados com os últimos patches e atualizações.
Finalmente, se você suspeitar que seu dispositivo está comprometido, você deve isolá-lo do restante da rede e restringir seu acesso à Internet, efetivamente interrompendo o malware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...