A Badbox Botnet, empregando uma nova variante do malware Badbox, ressurgiu, afetando até um milhão de dispositivos Android de backdoor, de acordo com a equipe de pesquisa da Satori da Segurança Humana.

Malware BadBox Targe Dispositivos Android

O primeiro surto de malware BadBox ocorreu em 2023, quando os pesquisadores encontraram dispositivos de TV conectados à Internet a Android fora da marca-knockoffs de modelos populares como Apple TV, Roku ou Amazon Fire Sticks-participando em uma ampla rede de adjuntos de admissão chamada Peachpit. Esse cluster inicial continha cerca de 74.000 dispositivos infectados.

O Badbox 2.0 continua a segmentar dispositivos Android, especificamente hardware executando o projeto de código aberto do Android (AOSP). Essa variante foi identificada em smartphones fora de marca de baixo custo, caixas de TV adicionais conectadas à Internet, tablets de uso de carro e projetores digitais.

You Might Also Like
Fortinet alerta da campanha de phishing de malware de upcrypter
Fortinet alerta da campanha de phishing de malware de upcrypter
Quando é a atualização 2.0 do Honkai Star Rail?
Quando é a atualização 2.0 do Honkai Star Rail?
O Quirguistão avança o projeto de lei para criar uma reserva estatal de criptografia
O Quirguistão avança o projeto de lei para criar uma reserva estatal de criptografia

Gavin Reid, ciso de segurança humana, relatado que os operadores da botnet geralmente manipulam a cadeia de suprimentos adquirindo hardware barato, rebrantando -o, incorporando malware em seus firmware ou aplicativos comumente usados ​​e depois vendendo esses produtos comprometidos. Os pesquisadores identificaram mais de 200 aplicativos infectados em lojas de aplicativos de Android de terceiros, muitos dos quais são ‘Mal Twins’-versões maliciosas de programas legítimos na Play Store do Google

Reid afirmou: “O esquema BadBox 2.0 é maior e muito pior do que o que vimos em 2023 em termos de aumento nos tipos de dispositivos direcionados, o número de dispositivos infectados, os diferentes tipos de fraude conduzidos e a complexidade do esquema”.

O malware produziu tráfego de rede de 222 países e territórios desde a sua detecção no outono passado, indicando seu vasto alcance. A botnet lucra principalmente com anúncios ocultos que os usuários não vêem, além de empregar fraude de cliques de anúncios.

Lindsay Kaye, vice -presidente de inteligência de ameaças em segurança humana, explicou que os operadores disfarçam suas técnicas fraudulentas. Se uma rede de anúncios legítima sinalizar um aumento nas vistas ou clicar de uma área específica, ele levanta suspeitas. Portanto, disfarçando fraudes em vários dispositivos conectados à Internet em todo o mundo, eles podem evitar a detecção.

As evidências também sugerem que o malware tem capacidade para roubar senhas de dispositivos infectados. Embora o botnet possa facilitar ataques de negação de serviço, Reid acredita que os operadores preferem fraudes sutis de anúncios para evitar chamar a atenção indevida.

A botnet Badbox 2.0 atingiu o pico de quase um milhão de dispositivos infectados, um número que foi reduzido pela metade devido a esforços da segurança humana, Google, Trend Micro e Fundação ShadowServer sem fins lucrativos. Essas organizações trabalharam em colaboração para identificar e desativar servidores de comando e controle que direcionam os dispositivos infectados, com o Google Monitoring para tráfego suspeito.

Em dezembro de 2024, a Alemanha iniciou uma interrupção ao afundar mais de 30.000 dispositivos de mídia infectados com o Badbox, mas uma botnet maior que compreende mais de 190.000 dispositivos foi descoberta logo depois.

A segurança humana avaliou que o impacto da botnet foi subestimado inicialmente, com o Badbox 2.0 infectando mais de um milhão de dispositivos em mais de 220 países. Semelhante ao seu antecessor, essa iteração explora os dispositivos AOSP de backdoor de vários fabricantes chineses.

O backdoor do malware pode ser incorporado durante a fabricação, baixado de um servidor de comando e controle na primeira inicialização ou instalado em lojas de aplicativos de terceiros por usuários sem conhecimento. Os atores de ameaças por trás do Badbox colaboram extensivamente; Quatro grupos foram identificados: Salestracker Group, Moyu Group, Lemon Group e Longtv.

A segurança humana observou: “Este não foi um ataque de um único ator de ameaça; Era uma coleção de atores de ameaças compartilhando recursos, direcionando infra -estruturas compartilhadas. ” Para combater as operações da botnet, foram implementadas medidas de prevenção de monetização por fraude de anúncios e as contas associadas aos esquemas fraudulentas foram desativadas.

Apesar dos esforços para mitigar seu impacto, os especialistas advertem que é improvável que a interrupção encerre completamente a botnet, pois os operadores podem adaptar e reconstruir suas redes.

Os usuários são aconselhados a remover aplicativos como ‘ganhar renda extra’ e ‘calculadora de ovulação da gravidez’, se encontrados em seus dispositivos, e para garantir que seus dispositivos Android sejam protegidos com soluções de segurança ativas para evitar downloads de aplicativos maliciosos e bloquear o tráfego prejudicial.

O Google Play Protect foi projetado para alertar os usuários e bloquear aplicativos que exibem comportamento relacionado ao BadBox 2.0 em dispositivos Android certificados.

Crédito da imagem em destaque: Aytun Çelebi/ideograma

O post Um novo surto de malware Android é pior do que nunca apareceu pela primeira vez no Techbriefly.

Source: Um novo surto de malware Android é pior do que nunca