16/12/24
Федеральное ведомство по информационной безопасности Германии (BSI) взяло под контроль интернет-трафик, направляемый с территории страны к C2-серверам группировки BADBOX.
Устройства используют устаревшие версии Android и были поставлены с предустановленным вредоносным ПО, пишет Securitylab. Все немецкие интернет-провайдеры с количеством абонентов более 100 000 обязаны перенаправлять трафик, связанный с BADBOX, на сервер ведомства.
BADBOX была впервые обнаружена в октябре 2023 года. С тех пор группировка собрала ботнет, состоящий из более 280 000 устройств. Вредоносное ПО распространялось через заражённые Android- и iOS-приложения, а также встроенное в прошивки Android TV приставок.
По данным специалистов, BADBOX действует из Китая и, вероятно, имеет доступ к цепочкам поставок оборудования, что позволило хакерам встраивать вредоносные прошивки прямо в устройства. Основная цель ботнета заключалась в скрытой установке приложений, которые позже показывали навязчивую рекламу владельцам устройств.
Вредоносное ПО действует скрытно: BadBox может создавать фейковые аккаунты для рассылки дезинформации через мессенджеры и электронную почту, перенаправлять трафик на мошеннические сайты, а также предоставлять интернет-соединение пользователя в пользование третьих лиц. Это позволяет киберпреступникам использовать IP-адрес устройства для кибератак и распространения незаконного контента. Кроме того, BadBox способно загружать дополнительные вредоносные программы.
Интернет-провайдеры, обслуживающие пользователей заражённых устройств, уведомляют об угрозе. Однако из-за массового производства однотипных моделей, которые продаются под разными брендами, точный список уязвимых устройств не представлен. Ведомство рекомендует всем владельцам проверять подключённые к сети устройства и при необходимости отключать их от интернета.
Покупателям новых устройств рекомендуется обращать внимание на безопасность продукции: наличие поддержки от производителя, актуальность операционной системы и репутацию бренда.
