Według badań przeprowadzonych przez firmę zajmującą się bezpieczeństwem bezpieczeństwa człowieka, co najmniej 1 milion urządzeń z Androidem wykonanym przez mało znanych marek i sprzedawanych na chińskich platformach internetowych jest zarażone złośliwym oprogramowaniem, które zamienia je w botnet kontrolowany przez oszustów. Zakażenie urządzeń odbywa się przy użyciu złośliwych aplikacji i oprogramowania układowego, a nawet na etapie produkcyjnym.
Według Wired Resource sieć Badbox Cybercriminals, która stała się znana w 2023 r. Ze względu na wprowadzenie tajnych bakdorów w dziesiątkach tysięcy ustawień telewizyjnych na Androidzie, używanych w domach, szkołach i przedsiębiorstwach, uruchomiła kampanię Badbox 2.0, która jest szersza pod względem skali i jeszcze bardziej pomysłową.
Zainfekowane konsole strumieniowe telewizji, tablety, projektory i systemy samochodowe i systemy rozrywkowe są wykorzystywane przez atakujących do reklamowania oszustw lub w ramach usługi proxy w zakresie routingu i maskowania ruchu internetowego. Jednocześnie właściciele naruszeni urządzeń nawet tego nie podejrzewają.
Według badań większość zainfekowanych urządzeń znajduje się w Ameryce Południowej, głównie w Brazylii. W szczególności zainfekowano dziesiątki ustawień telewizji strumieniowej, ale w większości Badbox 2.0 Backdor zyskał powszechne w rodzinach urządzeń TV98 i X96, które są powszechnie reprezentowane na przykład na Alixpress. Prawie wszystkie urządzenia docelowe używają systemu operacyjnego Androida z kodem open source, to znaczy działają w wersjach Androida, ale nie są uwzględnione w ekosystemie Google Secure.
Google poinformowała, że współpracowała z naukowcami w celu usunięcia kont wydawców związanych z oszustwami i zablokowania możliwości otrzymania dochodów za pośrednictwem ekosystemu reklamowego Google.
W ramach projektu Badbox 2.0 atakujący używają tradycyjnego złośliwego oprogramowania, rozproszeni za pomocą, na przykład powiązanych obciążeń, gdy użytkownik przypadkowo ładuje złośliwe oprogramowanie, nie zdając sobie z tego sprawy.
Naukowcy z kilku firm uważają, że obecna kampania prowadzi kilka grup cyberprzestępczości, z których każda ma własne wersje Badbox 2.0 Backdor i szkodliwe moduły, i dystrybuują oprogramowanie na różne sposoby.
Na przykład atakujący tworzą nieszkodliwy program, tą samą grę, umieszczają go w sklepie Google Play, aby pokazać, że jest on weryfikowany, ale potem oszukuje użytkowników, aby załadować prawie identyczne wersje aplikacji, ale już złośliwe, a nie z oficjalnych sklepów z oprogramowaniem.
„Skala operacji jest ogromna”, powiedział Fedor Yarochkin, starszy badacz zagrożenia w Trend Micro. Według niego wiele grup uczestniczących w szkodliwej kampanii wydaje się mieć powiązania z chińskimi firmami reklamowymi i marketingowymi szarego rynku. Doniesiono, że Human, Trend Micro i Google również współpracowały z grupą bezpieczeństwa Internetu Shadow Server w celu zneutralizowania infrastruktury Badbox 2.0.
„Jako konsument musisz pamiętać, że jeśli urządzenie jest zbyt tanie, powinieneś być przygotowany na fakt, że niektóre dodatkowe„ niespodzianki ”, mówi ekspert. „Bezpłatny ser dzieje się tylko w myszy”.
