Нарушена работа опасного ботнета BadBox: под угрозой полмиллиона Android-устройств

Работа ботнета с вредоносным ПО BadBox для Android снова была нарушена: из Google Play удалено 24 вредоносных приложения, а коммуникация для полумиллиона зараженных устройств была перехвачена.

Ботнет BadBox представляет собой кампанию кибермошенничества, нацеленную преимущественно на недорогие устройства на базе Android, такие как ТВ-боксы для потокового видео, планшеты, смарт-ТВ и смартфоны.

Эти устройства либо поставляются с предустановленным вредоносным ПО BadBox от производителя, либо заражаются через вредоносные приложения или загрузки прошивок.

После заражения ПО превращает устройства в прокси, генерирует фальшивые рекламные просмотры, перенаправляет пользователей на низкокачественные домены в рамках мошеннических операций по распределению трафика и использует IP-адреса пользователей для создания фальшивых аккаунтов и проведения атак методом перебора учетных данных.

В декабре прошлого года немецкие власти нарушили работу этого вредоносного ПО на зараженных устройствах в стране. Однако несколько дней спустя BitSight сообщил, что вредоносное ПО было обнаружено как минимум на 192 000 устройствах, что свидетельствует о его устойчивости к мерам правоохранительных органов.

С тех пор, по оценкам, ботнет вырос до более чем 1 000 000 заражений, затрагивая устройства Android в 222 странах, при этом большинство зараженных находится в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).

Предотвращение BadBox

Команда Satori Threat Intelligence от HUMAN возглавила последнюю операцию по нарушению работы ботнета в сотрудничестве с Google, Trend Micro, The Shadowserver Foundation и другими партнерами.

Из-за внезапного увеличения размеров ботнета HUMAN теперь называет его «BadBox 2.0», что свидетельствует о новой эре в его функционировании.

HUMAN поясняет:

Эта схема затронула более 1 миллиона потребительских устройств. К операции BADBOX 2.0 подключались недорогие, «небрендовые», несертифицированные планшеты, ТВ-боксы, цифровые проекторы и прочее.

Зараженные устройства являются устройствами проекта Android Open Source Project, а не устройствами на базе Android TV OS или сертифицированными устройствами Android с Play Protect. Все эти устройства производятся в материковом Китае и поставляются по всему миру; HUMAN зафиксировала трафик, связанный с BADBOX 2.0, из 222 стран и территорий.

HUMAN также обнаружила, что ботнет обслуживается и поддерживается несколькими группами злоумышленников, каждая из которых выполняет свои специфические функции или получает выгоды. Среди них:

• SalesTracker — управление инфраструктурой,
• MoYu — разработка бэкдора и ботнета,
• Lemon — кампании мошеннической рекламы,
• LongTV — разработка вредоносных приложений.

Зараженные устройства Android регулярно подключаются к серверам командования и управления, контролируемым злоумышленниками, чтобы получать новые настройки и команды для выполнения.

HUMAN сообщает, что, совместно с The Shadowserver Foundation, исследователи перехватили (sinkholed) нераскрытое число доменов BADBOX 2.0, чтобы предотвратить связь более чем 500 000 зараженных устройств с серверами командования и управления, созданными злоумышленниками.

Когда домен перехватывается, он переходит под контроль исследователей, что позволяет им отслеживать все подключения зараженных устройств к данному домену и собирать данные о ботнете. Поскольку зараженные устройства больше не могут подключаться к доменам, управляемым злоумышленниками, вредоносное ПО переводится в спящий режим, что эффективно нарушает работу ботнета.

HUMAN также обнаружила 24 Android-приложения в официальном магазине Google Play, которые устанавливали вредоносное ПО BadBox на устройства. Некоторые приложения, такие как «Earn Extra Income» и «Pregnancy Ovulation Calculator» от Seekiny Studio, имели свыше 50 000 загрузок.

Приложение BadBox в Google Play Маркет

Google удалил эти приложения из Google Play и ввел правило Play Защиты, предупреждающее пользователей и блокирующее установку приложений, связанных с BadBox 2.0 на сертифицированных устройствах Android.

Кроме того, технологический гигант прекратил работу аккаунтов издателей, участвовавших в мошеннических рекламных схемах, связанных с операцией BadBox, что предотвратило их монетизацию через Google Ads.

Важно отметить, что Google не может очистить от вредоносного ПО устройства Android, не сертифицированные Play Защита и продаваемые по всему миру. Таким образом, хотя работа BadBox 2.0 была нарушена, полностью устранить его не удалось.

В конечном итоге, пока потребители покупают устройства на базе AOSP, такие как небрендовые ТВ-боксы, не поддерживающие официальные сервисы Google Play, они остаются под угрозой использования оборудования с предустановленным вредоносным ПО.

Известные модели устройств, затронутых вредоносным ПО BadBox:

В ответ на нарушение работы ботнета Google опубликовал следующее заявление:

Мы благодарны за сотрудничество с HUMAN в принятии мер против операции BADBOX и защите потребителей от мошенничества. Зараженные устройства являются устройствами Android Open Source Project, а не устройствами на базе Android TV OS или сертифицированными устройствами Android с Play Protect.

Если устройство не сертифицировано Play Защита, у Google нет записей о результатах тестов безопасности и совместимости. Сертифицированные устройства Android с Play Защита проходят тщательное тестирование для обеспечения качества и безопасности пользователей. Пользователи должны удостовериться, что Google Play Защита — средство защиты от вредоносного ПО, включенное по умолчанию на устройствах с Сервисами Google Play — активировано.

Если вы владеете каким-либо из перечисленных устройств, скорее всего, получить чистую (незараженную) прошивку для них не получится.

В таком случае устройства следует заменить на устройства от авторитетных брендов или, если замена невозможна, отключить их от Интернета.