El Badbox Botnet, que emplea una nueva variante del malware Badbox, ha resurgido, lo que afecta hasta un millón de dispositivos Android traseros, según el equipo de investigación Satori de Human Security.
Badbox Malware se dirige a dispositivos Android
El primer brote de malware Badbox ocurrió en 2023, cuando los investigadores encontraron dispositivos de TV con conexión a Internet con Android fuera de marca, paradas de modelos populares como Apple TV, Roku o Amazon Fire Sticks, participando en una expansiva red AD-Fraud llamada Peachpit. Ese grupo inicial contenía alrededor de 74,000 dispositivos infectados.
Badbox 2.0 continúa apuntando a dispositivos Android, específicamente hardware que ejecuta el Proyecto de código abierto de Android (AOSP). Esta variante se ha identificado en teléfonos inteligentes fuera de marca de bajo costo, cajas de TV adicionales conectadas a Internet, tabletas de uso de automóviles y proyectores digitales.
Gavin Reid, CISO de Seguridad Humana, informó que los operadores de Botnet a menudo manipulan la cadena de suministro adquiriendo hardware de bajo costo, cambiando de marca, incrustando malware en su firmware o aplicaciones de uso común, y luego vendiendo estos productos comprometidos. Investigadores identificaron más de 200 aplicaciones infectadas en tiendas de aplicaciones de Android de terceros, muchas de las cuales son ‘gemelos malvados’: versiones maliciosas de programas legítimos en la tienda de Google en la tienda de Google
Reid declaró: “El esquema Badbox 2.0 es más grande y mucho peor que lo que vimos en 2023 en términos del aumento en los tipos de dispositivos dirigidos, el número de dispositivos infectados, los diferentes tipos de fraude realizado y la complejidad del esquema”.
El malware ha producido tráfico de red de 222 países y territorios desde su detección del otoño pasado, lo que indica su vasto alcance. La botnet se beneficia principalmente de anuncios ocultos que los usuarios no ven, al tiempo que emplean fraude de clics.
Lindsay Kaye, vicepresidente de inteligencia de amenazas en seguridad humana, explicó que los operadores disfrazan sus técnicas fraudulentas. Si una red publicitaria legítima marca un aumento en las vistas o clics desde un área específica, plantea sospechas. Por lo tanto, al disfrazar el fraude en varios dispositivos conectados a Internet a nivel mundial, pueden evadir la detección.
La evidencia también sugiere que el malware tiene la capacidad de robar contraseñas de dispositivos infectados. Aunque la botnet podría facilitar los ataques de denegación de servicio, Reid cree que los operadores prefieren un fraude publicitario sutil para evitar llamar la atención indebida.
El Badbox 2.0 Botnet alcanzó su punto máximo en casi un millón de dispositivos infectados, un número que desde entonces se ha reducido a la mitad debido a los esfuerzos de la seguridad humana, Google, Trend Micro y la Fundación sin fines de lucro Shadowserver. Estas organizaciones trabajaron en colaboración para identificar y deshabilitar los servidores de comando y control que dirigen los dispositivos infectados, con el monitoreo de Google para el tráfico sospechoso.
En diciembre de 2024, Alemania inició una interrupción al hundir más de 30,000 dispositivos de medios infectados con Badbox, sin embargo, se descubrió una botnet más grande que comprende más de 190,000 dispositivos poco después.
La seguridad humana evaluó que el impacto de la botnet se subestimó inicialmente, ya que Badbox 2.0, según los informes, infectó más de un millón de dispositivos en más de 220 países. Similar a su predecesor, esta iteración explota los dispositivos AOSP traseros de múltiples fabricantes chinos.
La puerta trasera del malware se puede incorporar durante la fabricación, descargar desde un servidor de comando y control en el primer arranque, o instalarse a través de tiendas de aplicaciones de terceros por usuarios desconocidos. Los actores de amenaza detrás de Badbox colaboran ampliamente; Se han identificado cuatro grupos: Salestracker Group, Moyu Group, Lemon Group y Longtv.
La seguridad humana señaló: “Este no fue un ataque de un actor de una sola amenaza; Esta fue una colección de actores de amenaza que compartieron recursos, dirigidos a infraestructuras compartidas “. Para combatir las operaciones de Botnet, se han implementado medidas de prevención de monetización de fraude publicitaria y se desactivaron las cuentas asociadas con los esquemas fraudulentos.
A pesar de los esfuerzos para mitigar su impacto, los expertos advierten que es poco probable que la interrupción termine por completo la botnet, ya que los operadores pueden adaptarse y reconstruir sus redes.
Se recomienda a los usuarios que eliminen aplicaciones como ‘Ganar ingresos adicionales’ y ‘Calculadora de ovulación de embarazo’ si se encuentran en sus dispositivos, y que se aseguren de que sus dispositivos Android estén protegidos con soluciones de seguridad activas para evitar descargas de aplicaciones maliciosas y bloquear el tráfico nocivo.
Google Play Protect está diseñado para advertir a los usuarios y bloquear aplicaciones que exhiben un comportamiento relacionado con Badbox 2.0 en dispositivos Android certificados.
Crédito de la imagen destacada: Aytun çelebi/ideograma
La publicación de un nuevo brote de malware de Android es peor que nunca en TechBriefly.
Source: Un nuevo brote de malware de Android es peor que nunca
