ФБР: вредоносное ПО BadBox 2.0 для Android заражает миллионы потребительских устройств.

ФБР предупреждает о заражении более миллиона домашних устройств, подключенных к интернету, вредоносным ПО BADBOX 2.0. Эта вредоносная программа превращает потребительскую электронику в домашние прокси, которые используются для злонамеренной деятельности. Бо́тнет BADBOX чаще всего обнаруживается на китайских Android-телевизорах, медиаприставках, проекторах, планшетах и других устройствах интернета вещей (IoT).

"Бо́тнет BADBOX 2.0 состоит из миллионов зараженных устройств и поддерживает многочисленные бэкдоры к прокси-сервисам, которые злоумышленники используют, продавая или предоставляя бесплатный доступ к скомпрометированным домашним сетям для различных преступных действий", – предупреждает ФБР.

Эти устройства поставляются с предустановленным бо́тнетом BADBOX 2.0 или заражаются после установки обновлений прошивки, а также через вредоносные Android-приложения, попадающие в Google Play и сторонние магазины приложений. "Злоумышленники получают несанкционированный доступ к домашним сетям либо путем конфигурирования продукта с вредоносным программным обеспечением до покупки пользователем, либо путем заражения устройства при загрузке необходимых приложений, содержащих бэкдоры, обычно в процессе настройки", – объясняет ФБР. "После подключения этих скомпрометированных IoT-устройств к домашним сетям, зараженные устройства становятся уязвимыми для включения в бо́тнет BADBOX 2.0 и прокси-сервисы, используемые для злонамеренной деятельности."

После заражения устройства подключаются к серверам управления и контроля (C2) злоумышленников, где они получают команды для выполнения на скомпрометированных устройствах, такие как маршрутизация вредоносного трафика через домашние IP-адреса для сокрытия преступной деятельности, выполнение фонового мошенничества с рекламой для получения дохода и запуск атак с использованием украденных учетных данных. На протяжении многих лет бо́тнет продолжал расширяться, пока в 2024 году немецкое агентство по кибербезопасности не прервало работу бо́тнета в стране, перенаправив связь между зараженными устройствами и инфраструктурой злоумышленников, фактически сделав вредоносное ПО бесполезным. Однако это не остановило злоумышленников, и исследователи обнаружили, что вредоносное ПО установлено на 192 000 устройствах спустя всего неделю. Еще более тревожным является то, что вредоносное ПО было обнаружено на более популярных брендах, таких как Yandex TVs и Hisense smartphones. К сожалению, несмотря на предыдущее прерывание, бо́тнет продолжал расти, и HUMAN's Satori Threat Intelligence заявила, что к марту 2025 года более миллиона потребительских устройств были заражены. Этот новый, более крупный бо́тнет теперь называется BADBOX 2.0, что указывает на отслеживание кампании вредоносного ПО. "Эта схема затронула более миллиона потребительских устройств. Устройства, подключенные к операции BADBOX 2.0, включали недорогие, неоригинальные, несертифицированные планшеты, подключенные к ТВ (CTV) приставки, цифровые проекоры и многое другое", – объясняет HUMAN.

"Зараженные устройства представляют собой устройства Android Open Source Project, а не устройства Android TV OS или сертифицированные Play Protect устройства Android. Все эти устройства производятся в материковом Китае и поставляются по всему миру; HUMAN зафиксировала трафик, связанный с BADBOX 2.0, из 222 стран и территорий по всему миру."