Зловредное ПО BadBox заразило более 500 000 устройств Android

Исследователи безопасности HUMAN и их партнеры прервали деятельность ботнета BadBox 2.0. Они удалили десятки вредоносных приложений из Google Play Store и заблокировали коммуникации на сотнях тысяч зараженных устройств.

Ботнет BadBox 2.0, являющийся духовным преемником вредоносного ПО BadBox для Android, был прерван после того, как эксперты по кибербезопасности из команды Satori Threat Intelligence компании HUMAN вместе с несколькими партнерами удалили десятки вредоносных приложений из Google Play Store, заблокировали разработчиков этих приложений и отключили коммуникации на сотнях тысяч зараженных устройств.

«Зараженные устройства — это Android Open Source Project устройства, не устройства Android TV OS или сертифицированные Android-устройства с защитой Play Protect. Все эти устройства производятся в материковой части Китая и поставляются во всем мире», — объяснили исследователи.

Всего было удалено 24 вредоносных приложения из Google Play Store, распространявших BadBox 2.0, а аккаунты разработчиков этих приложений были заблокированы на платформе. HUMAN также заблокировала неуточненное количество доменов, что прервало коммуникации между вредоносным ПО и серверами управления C2. Таким образом, устройства остаются зараженными, но сам вирус становится неактивным.

BadBox — это вредоносное программное обеспечение, которое превращает зараженные Android-устройства в резидентные прокси-серверы. Они используются для мошенничества с рекламой, наполнения учетных записей и других форм киберпреступлений. По оценкам, BadBox заразил сотни тысяч устройств — от устройств потоковой передачи видео до умных телевизоров и смартфонов.

Точного способа, как эти устройства оказались зараженными, никто не знает. Некоторые считают, что они были взломаны на ранних этапах производства, другие утверждают, что BadBox был внедрен где-то в процессе поставок. В любом случае, это преимущественно низкобюджетные устройства неизвестных брендов или неквалифицированных производителей.

Немецкие власти недавно прервали деятельность этого ботнета на своей территории, но это только немного сбило его активность. В течение нескольких недель после операции количество зараженных устройств BadBox выросло до более миллиона (хотя большинство из них находились за пределами Германии, в странах таких как Бразилия, США и Мексика).

Учитывая его масштабы и устойчивость, исследователи безопасности HUMAN назвали новую версию «BadBox 2.0». Теперь вместе с Google, Trend Micro, The Shadowserver Foundation и другими партнерами они прервали деятельность нового ботнета несколькими способами.

Как обычно, лучший способ защититься от таких атак — покупать оборудование и программное обеспечение у надежных поставщиков, поддерживать обновления системы и мониторить активность вредоносного ПО.