FBI varuje, že kampaň malwaru BADBOX 2.0 infikovala více než 1 milion domácích zařízení připojených k internetu, čímž proměnila spotřební elektroniku v rezidenční proxy servery využívané k nekalé činnosti. Botnet BADBOX se běžně vyskytuje na čínských chytrých televizích s Androidem, streamovacích boxech, projektorech, tabletech a dalších zařízeních IoT.
„Botnet BADBOX 2.0 se skládá z milionů infikovaných zařízení a udržuje četné zadní vrátka k proxy službám, které kyberzločinci zneužívají buď prodejem, nebo poskytováním bezplatného přístupu ke kompromitovaným domácím sítím, jež jsou následně využívány k různým trestným činům,“ varuje FBI.
Tato zařízení jsou buď již z výroby vybavena malwarem BADBOX 2.0, nebo se infikují po instalaci aktualizací firmwaru a prostřednictvím škodlivých Android aplikací, které se dostanou na Google Play i do obchodů třetích stran.
„Kyberzločinci získávají neoprávněný přístup k domácím sítím buď tím, že produkt předem nakonfigurují se škodlivým softwarem ještě před zakoupením uživatelem, nebo infikují zařízení při stahování potřebných aplikací obsahujících zadní vrátka, obvykle během procesu nastavení,“ vysvětluje FBI. „Jakmile jsou tato kompromitovaná IoT zařízení připojena k domácím sítím, stávají se součástí botnetu BADBOX 2.0 a rezidenčních proxy služeb, o nichž je známo, že jsou využívány k nelegální činnosti.“
Po infekci se zařízení připojují k řídicím serverům útočníka (C2), odkud přijímají příkazy k provádění na kompromitovaných zařízeních, například:
– Rezidenční proxy sítě: Malware směruje provoz jiných kyberzločinců přes domácí IP adresy obětí, čímž maskuje škodlivou aktivitu.
– Podvody s reklamou: BADBOX může na pozadí načítat a klikat na reklamy, čímž generuje příjmy pro útočníky.
– Útoky typu credential stuffing: Útočníci využívají IP adresy obětí k pokusům o přístup k účtům jiných lidí pomocí odcizených přihlašovacích údajů.
BADBOX 2.0 vznikl z původního malwaru BADBOX, který byl poprvé identifikován v roce 2023, když byl nalezen předinstalovaný v levných, bezejmenných Android TV boxech jako T95.
V průběhu let botnet dále expandoval až do roku 2024, kdy německá agentura pro kybernetickou bezpečnost narušila botnet v zemi tím, že přesměrovala komunikaci mezi infikovanými zařízeními a infrastrukturou útočníka, čímž malware fakticky zneškodnila.
To však útočníky nezastavilo – experti uvedli, že malware byl nalezen na 192 000 zařízeních už týden po zásahu. Ještě znepokojivější je, že malware byl nalezen i na známějších značkách, jako jsou televize Yandex a chytré telefony Hisense.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
