Более 1 миллиона устройств Android скомпрометировано скрытым бэкдором

Команда исследователей в области кибербезопасности обнаружила и частично прекратила деятельность масштабной мошеннической операции под названием BADBOX 2.0, в которую была вовлечена ботнет из более чем миллиона зараженных устройств на базе Android.

Операция, являющаяся развитием оригинальной кампании BADBOX, раскрытой в 2023 году, основывалась на использовании заранее установленных «задних дверей» на недорогих, непрошедших сертификацию потребительских устройствах для облегчения киберпреступной деятельности.

Расследование, проведенное командой Satori Threat Intelligence and Research от HUMAN в сотрудничестве с Google, Trend Micro, Shadowserver и другими партнерами, привело к наличию убедительных доказательств, связывающих виновников за BADBOX с расширением схемы BADBOX 2.0.

Эта схема основывается на оригинальной операции BADBOX, раскрытой в 2023 году, и представляет собой самую обширную ботнет, когда-либо идентифицированную среди зараженных подключенных телевизоров (CTV), компрометируя более миллиона недорогих, несертифицированных устройств на базе Android по всему миру.

BADBOX 2.0 эксплуатирует уязвимости в потребительской электронике, такой как планшеты неизвестных брендов, CTV-приставки и цифровые проекторы, для удаленного развертывания модулей мошенничества. Эти устройства подключаются к серверам управления и контроля (C2), которые управляются несколькими киберпреступными группами.

Инфекция распространяется через скомпрометированные цепочки поставок, предустановленное вредоносное ПО или загрузку приложений от третьих лиц, что позволяет злоумышленникам контролировать устройства ничего не подозревающих пользователей.

После заражения эти устройства становятся частью огромной ботнет-сети, используемой для мошеннической деятельности. Атакующие используют их для рекламного обмана, запуская скрытые объявления и имитируя взаимодействие, клик-фрода, перенаправляя трафик на поддельные домены, и автоматизированного просмотра для увеличения трафика на сайтах.

Ботнет также позволяет киберпреступникам продавать доступ к IP-адресам зараженных устройств для услуг резидентного прокси, облегчая захват аккаунтов, создание фальшивых аккаунтов и обход систем аутентификации.

Кроме того, скомпрометированные устройства используются для DDoS-атак, распространения вредоносного ПО и кражи одноразовых паролей (OTP), что позволяет злоумышленникам захватывать пользовательские аккаунты.

Вредоносное ПО, которое стоит за BADBOX 2.0, манипулирует поведением пользователя и показателями вовлеченности за счет скрытой рекламы и автоматизированного просмотра веб-страниц, генерируя мошеннические рекламные доходы и искажая экосистему цифровой рекламы.

Исследователи в области безопасности выявили четыре основные группы киберпреступников, участвующих в операции. Группа SalesTracker управляла инфраструктурой BADBOX и ее расширением, в то время как группа MoYu разработала «заднюю дверь», управляла ботнетом и проводила кампанию по мошенничеству с кликами.

Группа Lemon была связана с услугами резидентных прокси и мошенническими веб-сайтами онлайн-игр, а LongTV разработала вредоносные приложения CTV для облегчения скрытого мошенничества с рекламой.

HUMAN и ее партнеры нарушили ключевые элементы BADBOX 2.0, отслеживая его инфраструктуру и предпринимая целенаправленные действия. Google удалил аккаунты издателей, связанных с BADBOX, и усилил Google Play Protect для блокировки связанного вредоносного ПО при установке.

Чтобы снизить риск, пользователям рекомендуется проверить, сертифицированы ли их устройства Google Play Protect, и избегать несертифицированных устройств Android.