Федеральное управление по информационной безопасности Германии (BSI) провело успешную операцию по нейтрализации опасного ботнета Badbox. В ходе расследования выявлено более 30 000 зараженных Android-устройств, включая цифровые фоторамки, медиаплееры и ТВ-приставки, поставляемых с предустановленным вредоносным ПО. Угроза затрагивает преимущественно бюджетные устройства без сертификации Google, продаваемые через маркетплейсы под малоизвестными торговыми марками.
Анатомия угрозы: как работает Badbox
Badbox представляет собой сложное вредоносное ПО, внедряемое в прошивку устройств на этапе производства. При первом подключении к интернету зараженное устройство устанавливает связь с командным центром злоумышленников, получая инструкции по запуску вредоносных процессов и передавая похищенные данные. По данным CISA, операции ботнета Badbox охватывали устройства по всему миру задолго до обнаружения немецкими властями.
Основные возможности вредоносного ПО
Функционал Badbox включает кражу кодов двухфакторной аутентификации, установку дополнительного вредоносного ПО и создание фальшивых аккаунтов для распространения дезинформации. Эксперты также отмечают использование зараженных устройств в схемах рекламного мошенничества и в качестве прокси-серверов для анонимизации вредоносного трафика.
Меры противодействия и защита пользователей
BSI реализовало технологию DNS-sinkholing, перенаправляя коммуникации зараженных устройств на контролируемые правоохранительными органами серверы. Все крупные интернет-провайдеры страны получили соответствующие инструкции по блокировке вредоносного трафика. Официальное уведомление BSI содержит перечень затронутых моделей и рекомендации для владельцев.
Кто находится под угрозой
В группе риска прежде всего пользователи недорогих Android-устройств, приобретённых на маркетплейсах (AliExpress, Amazon, eBay) без подтверждённой сертификации Play Protect. Особую уязвимость демонстрируют:
- цифровые фоторамки на Android без официальной поддержки производителя;
- ТВ-приставки и медиаплееры под малоизвестными брендами;
- планшеты и смартфоны без сертификации Google Play Protect;
- устройства, не получающие обновления прошивки более 12 месяцев.
Что делать при подозрении на заражение
Специалисты рекомендуют обращать внимание на следующие признаки заражения:
- необъяснимый перегрев устройства в режиме ожидания;
- снижение производительности без видимой причины;
- самопроизвольное изменение настроек или появление новых приложений;
- подозрительная сетевая активность в ночное время.
При обнаружении перечисленных признаков необходимо немедленно отключить устройство от локальной сети и интернета. Сброс до заводских настроек не устраняет угрозу, поскольку Badbox встроен в прошивку — единственным надёжным решением является прекращение использования устройства. Проверить статус сертификации Android-устройства можно через официальный реестр сертифицированных устройств Google. Для защиты домашней сети рекомендуется настроить сегментацию Wi-Fi: вынести IoT-устройства в отдельную гостевую сеть без доступа к основным ресурсам.
