La botnet de malware BadBox para Android se ha expandido a más de 192.000 dispositivos infectados en todo el mundo a pesar de una reciente operación de sumidero que intentó interrumpir las operaciones en Alemania.
Los investigadores de BitSight advierten que el malware parece haber ampliado su alcance más allá de los dispositivos Android chinos anónimos, infectando ahora marcas más conocidas y confiables como Yandex TV y teléfonos inteligentes Hisense.
La botnet maliciosa BadBox
BadBox es un malware para Android basado en la familia de malware “Triada”, que infecta dispositivos fabricados por fabricantes desconocidos, ya sea mediante ataques a la cadena de suministro en su firmware, empleados sospechosos o inyecciones que se realizan cuando entran en la fase de distribución del producto.
Fue descubierto por primera vez en una caja de TV Android T95 comprada en Amazon por el consultor de seguridad canadiense Daniel Milisic a principios de 2023. Desde entonces, la operación maliciosa se ha extendido a otros productos anónimos vendidos en línea.
El objetivo de la campaña BadBox es el beneficio económico, que se obtiene transformando el dispositivo en un proxy residencial o utilizándolo para realizar fraude publicitario. Estos servidores proxy residenciales pueden luego alquilarse a otros usuarios, en muchos casos ciberdelincuentes, que utilizan su dispositivo como proxy para llevar a cabo ataques u otras actividades fraudulentas.
Además, el malware BadBox se puede utilizar para instalar cargas útiles maliciosas adicionales en dispositivos Android, permitiendo así operaciones más peligrosas.
Fuente: BitSight
La semana pasada, la Oficina Federal de Seguridad de la Información (BSI) de Alemania anunció que había interrumpido el funcionamiento del malware BadBox en el país después de piratear uno de los servidores de comando y control del malware, cortando así la comunicación de 30.000 dispositivos Android.
Estos dispositivos eran principalmente marcos de fotos digitales y cajas de transmisión de medios basados en Android, pero BSI advirtió que es muy probable que BadBox esté presente en más categorías de productos.
BadBox sigue creciendo
El nuevo informe de BitSight confirma que la Operación BadBox continuó expandiéndose a pesar de la acción de la policía alemana, y los investigadores descubrieron el malware de Android instalado en 192.000 televisores y teléfonos inteligentes.
Según Pedro Falé, investigador de BitSight, la empresa de ciberseguridad logró hackear uno de los servidores de comando y control utilizados por la operación maliciosa BadBox.
Como los investigadores ahora controlan el dominio, pueden ver cuándo los dispositivos intentan conectarse a él, lo que les permite ver cuántas direcciones IP únicas se ven afectadas.
“La realidad es que BADBOX todavía parece estar muy vivo y creciendo”. escribió Falé.
“Esto fue evidente cuando Bitsight eliminó con éxito un dominio BADBOX, registrando más de 160.000 IP únicas en un período de 24 horas. Un número que sigue creciendo. »
El número de dispositivos detectados es muy superior a lo que anteriormente se consideraba el pico de esta botnet, que rondaba los 74.000 dispositivos comprometidos.
Alrededor de 160.000 de los dispositivos infectados son el televisor inteligente Yandex 4K QLED, muy popular en Rusia, y el teléfono inteligente Hisense T963.
“EL [impacted] Los modelos que van desde YNDX-00091 a YNDX-000102 son televisores inteligentes 4K de una marca conocida, no cajas de TV Android baratas”, explica BitSight.
“Esta es la primera vez que una marca importante de Smart TV se comunica directamente a tal volumen con un dominio de comando y control (C2) de BadBox, ampliando el alcance de los dispositivos afectados más allá de las cajas de TV, tabletas y teléfonos inteligentes con Android”.
Los dispositivos detectados por BitSight se encuentran principalmente en Rusia, China, India, Bielorrusia, Brasil y Ucrania.
Fuente: BitSight
BitSight también informa que la reciente operación de BSI no afectó sus datos de telemetría porque la acción fue geográficamente limitada, lo que permitió que el malware BadBox para Android continuara sin cesar.
Con BadBox expandiéndose a más marcas importantes, es crucial que los consumidores apliquen las últimas actualizaciones de seguridad de firmware, aíslen sus dispositivos inteligentes de sistemas más críticos y los desconecten de Internet cuando no estén en uso.
Sin embargo, si no hay actualizaciones de seguridad o de firmware disponibles para su dispositivo, se recomienda encarecidamente desconectarlas de su red o desactivarlas por completo.
Los signos de una infección de botnet BadBox incluyen sobrecalentamiento y caídas de rendimiento debido al uso elevado de la CPU, tráfico de red atípico y cambios en la configuración del dispositivo.