Международная группа экспертов по кибербезопасности провела успешную операцию против опасного ботнета BadBox 2.0, который заразил более миллиона Android-устройств по всему миру. В результате скоординированных действий специалистам удалось заблокировать вредоносную активность на 500 000 зараженных устройств и удалить 24 вредоносных приложения из Google Play.
Анатомия современной киберугрозы
BadBox 2.0 представляет собой усовершенствованную версию вредоносного ПО, основанного на печально известном семействе Triada. Особую опасность представляет способность малвари предустанавливаться на бюджетные Android-устройства еще на этапе производства. Основными целями злоумышленников становятся несертифицированные планшеты, ТВ-приставки и цифровые проекторы китайского производства.
Масштаб заражения и географическое распространение
По данным исследователей, наибольшее количество зараженных устройств зафиксировано в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%). Несмотря на попытку немецких правоохранителей нейтрализовать ботнет в декабре 2023 года, его размер продолжал расти и достиг отметки в один миллион устройств.
Организованная киберпреступность
Исследование Human Security выявило, что за функционированием BadBox 2.0 стоит сразу несколько хакерских групп с четким разделением ролей: SalesTracker управляет инфраструктурой, MoYu разрабатывает бэкдоры, Lemon проводит мошеннические рекламные кампании, а LongTV создает вредоносные приложения.
Результаты противодействия
Благодаря совместным усилиям Human Security, Google, Trend Micro и The Shadowserver Foundation удалось достичь значительных результатов в борьбе с ботнетом. Специалисты осуществили успешный sinkhole атакующих доменов, заблокировав активность малвари на 500 000 устройств. Google удалила все выявленные вредоносные приложения из Play Store и усилила защиту с помощью новых правил Play Protect.
Несмотря на существенный урон, нанесенный инфраструктуре BadBox 2.0, полная ликвидация ботнета остается сложной задачей. Владельцам несертифицированных Android-устройств настоятельно рекомендуется либо заменить их на продукцию известных производителей, либо полностью отключить от интернета во избежание дальнейших рисков безопасности.
