Федеральное бюро расследований США официально подтвердило масштабы новой киберугрозы: ботнет BadBox 2.0 инфицировал свыше одного миллиона устройств на базе Android по всему миру. Под удар попали смартфоны, планшеты, телевизионные приставки, умные телевизоры и другие IoT-устройства, которые злоумышленники превращают в резидентные прокси-серверы для проведения различных преступных операций.
Механизм распространения и функциональность BadBox
BadBox представляет собой сложное вредоносное программное обеспечение, основанное на коде известного семейства Triada. Особую опасность представляет способ его распространения: малварь может быть предустановлена на бюджетные устройства еще на этапе производства, что делает заражение практически неизбежным для конечного пользователя.
Согласно данным ФБР, киберпреступники получают несанкционированный доступ к домашним сетям двумя основными способами: через предварительно зараженные устройства или посредством загрузки приложений с встроенными бэкдорами в процессе первоначальной настройки. После подключения к интернету скомпрометированные устройства автоматически становятся частью ботнета и начинают функционировать как резидентные прокси.
Криминальные возможности ботнета
Функциональность BadBox 2.0 выходит далеко за рамки простого прокси-сервиса. Вредоносная программа способна перехватывать коды двухфакторной аутентификации, устанавливать дополнительное малварь и создавать фальшивые учетные записи в email-сервисах и мессенджерах для распространения дезинформации.
Особую озабоченность экспертов вызывает использование IP-адресов жертв для получения доступа к чужим аккаунтам с помощью украденных учетных данных. Операторы ботнета также активно задействованы в рекламном мошенничестве, используя зараженные устройства для генерации фальшивого трафика.
География распространения и пострадавшие устройства
Анализ географического распределения зараженных устройств показывает, что наибольшее количество жертв сосредоточено в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%). Основную группу риска составляют бюджетные, несертифицированные устройства на базе Android Open Source Project, производимые в материковом Китае.
В список пострадавших устройств входят небрендированные планшеты, ТВ-приставки, цифровые проекторы и другие IoT-решения, которые не прошли сертификацию Play Protect и поставляются по всему миру через различные торговые площадки.
Борьба с угрозой и текущая ситуация
История противодействия BadBox началась в 2023 году, когда независимый исследователь Даниэль Милишич обнаружил зараженные Android-приставки T95 на торговой площадке Amazon. С тех пор предпринимались неоднократные попытки нейтрализации ботнета.
В марте 2025 года совместная операция Human Security, Google, Trend Micro и The Shadowserver Foundation позволила осуществить sinkhole ряда управляющих доменов, нарушив связь с 500 000 зараженных устройств. Однако ботнет продолжает расти за счет постоянного поступления новых скомпрометированных продуктов на рынок.
Текущая ситуация демонстрирует критическую важность тщательного выбора IoT-устройств и приобретения продукции только у проверенных производителей с официальной сертификацией. Пользователям рекомендуется избегать покупки бюджетных устройств неизвестного происхождения и регулярно мониторить сетевую активность домашних устройств для выявления подозрительного трафика.
