Федеральне бюро розслідувань США оприлюднило тривожні дані про нову глобальну кіберзагрозу: ботнет BadBox 2.0 скомпрометував понад мільйон Android-пристроїв по всьому світу. Під атакою опинились смартфони, планшети, розумні телевізори, медіа-приставки та інші пристрої Інтернету речей, які кіберзлочинці перетворюють на мережу проксі-серверів для проведення незаконних операцій.
Технічна архітектура та способи поширення загрози
BadBox являє собою складний зловмисний програмний комплекс, розроблений на основі відомого сімейства шкідливих програм Triada. Найбільшу небезпеку становить механізм розповсюдження: малвар може бути попередньо встановлений на бюджетні пристрої безпосередньо під час виробництва, що робить інфікування практично неминучим для кінцевого користувача.
За даними ФБР, кіберзлочинці отримують неавторизований доступ до домашніх мереж двома основними методами: через попередньо заражені пристрої або шляхом завантаження додатків зі вбудованими бекдорами під час початкового налаштування. Після підключення до інтернету скомпрометовані пристрої автоматично інтегруються до ботнету та починають функціонувати як резидентні проксі-сервери.
Функціональні можливості та злочинний потенціал
Можливості BadBox 2.0 значно перевершують звичайний проксі-сервіс. Зловмисна програма здатна перехоплювати коди двофакторної автентифікації, встановлювати додаткове шкідливе ПЗ та створювати підроблені облікові записи в email-сервісах і месенджерах для поширення дезінформації.
Особливе занепокоєння експертів викликає використання IP-адрес жертв для отримання доступу до сторонніх акаунтів за допомогою викрадених облікових даних. Оператори ботнету також активно залучені до рекламного шахрайства, використовуючи заражені пристрої для генерації фіктивного трафіку та накрутки показників.
Географічний розподіл та уразливі пристрої
Аналіз географічного поширення інфікованих пристроїв демонструє, що найбільша кількість жертв зосереджена в Бразилії (37,6%), США (18,2%), Мексиці (6,3%) та Аргентині (5,3%). Основну групу ризику складають бюджетні, несертифіковані пристрої на базі Android Open Source Project, що виробляються в континентальному Китаї.
До переліку постраждалих пристроїв входять безбрендові планшети, ТВ-приставки, цифрові проектори та інші IoT-рішення, які не пройшли сертифікацію Play Protect і поставляються по всьому світу через різноманітні торгові майданчики, включаючи популярні інтернет-магазини.
Протидія загрозі та поточний стан боротьби
Історія протидії BadBox розпочалась у 2023 році, коли незалежний дослідник Даніель Мілішич виявив заражені Android-приставки T95 на торговій платформі Amazon. З того часу здійснювались неодноразові спроби нейтралізації ботнету різними кібербезпековими організаціями.
У березні 2024 року спільна операція Human Security, Google, Trend Micro та The Shadowserver Foundation дозволила здійснити sinkhole низки керуючих доменів, порушивши зв’язок з 500 000 заражених пристроїв. Проте ботнет продовжує зростати за рахунок постійного надходження нових скомпрометованих продуктів на ринок.
Поточна ситуація підкреслює критичну важливість ретельного вибору IoT-пристроїв та придбання продукції виключно у перевірених виробників з офіційною сертифікацією. Користувачам настійно рекомендується уникати покупки бюджетних пристроїв невідомого походження, регулярно моніторити мережеву активність домашніх пристроїв для виявлення підозрілого трафіку та встановлювати лише офіційні додатки з Google Play Store.
