Корпорация Google инициировала судебное разбирательство против неизвестных операторов масштабного Android-ботнета BadBox 2.0, который к апрелю 2025 года скомпрометировал более 10 миллионов устройств по всему миру. Иск направлен на пресечение глобальной мошеннической схемы, наносящей ущерб рекламным платформам технологического гиганта.
Техническая характеристика угрозы BadBox 2.0
BadBox представляет собой высокосложную вредоносную программу, разработанную на базе кода печально известного семейства Triada. Уникальность этой угрозы заключается в способности инфицировать устройства на этапе производства — малварь предустанавливается на бюджетные Android-девайсы непосредственно «из коробки».
Основными векторами распространения выступают:
• Предустановка на устройства во время производства
• Заражение через системные обновления
• Распространение через вредоносные приложения в Google Play и сторонних магазинах
Под атакой оказываются разнообразные устройства на базе Android Open Source Project (AOSP): смартфоны, планшеты, ТВ-приставки, умные телевизоры и цифровые проекторы.
Механизм функционирования ботнета
После успешного заражения BadBox 2.0 трансформирует устройства в узлы обширной ботнет-сети, предоставляя злоумышленникам широкий спектр возможностей для киберпреступной деятельности. Малварь обеспечивает:
• Кражу персональных данных пользователей
• Установку дополнительного вредоносного программного обеспечения
• Удаленный доступ к локальной сети скомпрометированного устройства
• Превращение устройств в резидентные прокси-серверы
Схемы рекламного мошенничества
Судебный иск Google сосредоточен на трех основных методах рекламного мошенничества, реализуемых через ботнет BadBox 2.0. Хотя точные механизмы не раскрываются в публичных документах, эксперты отмечают, что подобные схемы обычно включают генерацию фиктивных кликов, просмотров рекламы и создание поддельного трафика.
Масштабы финансового ущерба
Согласно заявлению Google, компания вынуждена тратить значительные финансовые ресурсы на расследование и противодействие мошеннической деятельности. Уже удалены тысячи аккаунтов издателей, связанных с преступной кампанией, однако ботнет продолжает экспоненциально расти.
Хронология противодействия угрозе
Первое обнаружение BadBox датируется 2023 годом, когда независимый исследователь кибербезопасности Даниэль Милишич выявил предустановленную малварь на Android-приставках T95, продававшихся через Amazon.
В конце 2024 года немецкие правоохранительные органы предприняли попытку нейтрализации части ботнета, однако исследователи из BitSight констатировали минимальное воздействие на его функционирование. К декабрю сеть восстановилась до 192 000 зараженных устройств.
Весной 2025 года консорциум экспертов по кибербезопасности, включающий специалистов Human Security, Google, Trend Micro и The Shadowserver Foundation, инициировал масштабную операцию против уже миллионного ботнета, получившего обозначение BadBox 2.0.
Результаты координированной операции
Мартовская операция по нейтрализации ботнета привела к успешному «затоплению» (sinkhole) ключевых доменов управляющей инфраструктуры, что нарушило связь с 500 000 зараженных устройств. Однако ФБР предупреждает о возобновлении роста ботнета из-за продолжающихся поставок скомпрометированных устройств.
Правовые аспекты судебного разбирательства
Google инициирует судебное преследование 25 анонимных ответчиков, предположительно базирующихся в материковом Китае, на основании двух фундаментальных законодательных актов США:
• Закон о компьютерном мошенничестве и злоупотреблениях (Computer Fraud and Abuse Act)
• Закон о рэкете и коррупционных организациях (RICO)
Корпорация требует возмещения ущерба и получения постоянного судебного запрета для демонтажа инфраструктуры малвари и предотвращения дальнейшего распространения угрозы.
Текущая ситуация с BadBox 2.0 демонстрирует критическую важность комплексного подхода к кибербезопасности, объединяющего усилия технологических компаний, правоохранительных органов и международного сообщества экспертов. Потребителям настоятельно рекомендуется приобретать только сертифицированные устройства от проверенных производителей и регулярно обновлять системы безопасности.
