Федеральное управление по информационной безопасности (BSI) помешало работе ботнета Badbox. Одноименная малварь предустанавливается на Android-устройства прямо «из коробки», и в стране обнаружили более 30 000 таких зараженных девайсов (включая цифровые фоторамки, медиаплееры, ТВ-приставки, и вероятно, смартфоны и планшеты).
Напомним, что еще в прошлом году специалисты Human Security и независимый ИБ-исследователь Даниэль Милишич (Daniel Milisic) предупредили, что тысячи IoT-устройств заражены Badbox и продаются сразу с малварью «в комплекте». Тогда сообщалось, что бэкдоры содержат как минимум семь ТВ-приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.
При этом исследователям не удалось выяснить, на каком именно этапе цепочки поставок происходит компрометация. Дело в том, что устройства производятся в Китае, и перед тем как они попадают в руки реселлеров, в их прошивку добавляется бэкдор. Так, заражению подвергаются, например, бюджетные Android-приставки для работы с потоковым видео (как правило, стоимостью менее 50 долларов), зачастую они продаются под разными брендами или вообще не имеют бренда, так что проследить их происхождение и цепочку поставок оказалось затруднительно.
Badbox представляет собой Android-малварь, которая предустанавливается на устройство и используется для кражи данных, установки дополнительного вредоносного ПО, а также позволяет злоумышленникам получить удаленный доступ к сети, в которой находится зараженный гаджет.
Когда зараженное устройство впервые подключается к интернету, малварь связывается со своим управляющим сервером, который сообщает Badbox, какие вредоносные службы следует запустить, а также получает все данные, похищенные из сети жертвы.
По данным специалистов, малварь способна воровать коды двухфакторной аутентификации, устанавливать другие вредоносные программы, а также создавать новые email-аккаунты и учетные записи в мессенджерах для распространения фейковых новостей. Кроме того, как отмечалось еще в 2023 году, операторы Badbox могут быть связаны с рекламным мошенничеством, а зараженные гаджеты порой используются в качестве резидентных прокси.
Как сообщили теперь в BSI, им удалось заблокировать коммуникации между зараженными Badbox устройствами и их управляющей инфраструктурой, осуществив sinkhole DNS-запросов. Соответствующие указания получили все интернет-провайдеры страны, обсуживающие более 100 000 абонентов.
В результате вместо управляющих серверов злоумышленников малварь связывается с серверами, контролируемыми полицией. Это не позволяет вредоносу передавать хакерам украденные данные и получать новые команды для выполнения на зараженных устройствах.
Теперь все владельцы зараженных устройств, получат уведомления от своих интернет-провайдеров (в зависимости от IP-адреса). Правоохранители подчеркивают, что все, кто получит такие уведомления, должны немедленно отключить зараженные Badbox устройства от своей сети, а лучше вообще прекратить их использование.
Поскольку малварь внедряется в прошивку девайсов, доверять другим прошивкам от производителя таких устройств явно не стоит, и устройства рекомендуется вернуть в магазин или утилизировать.
«Вредоносное ПО на устройствах, подключенных к интернету, к сожалению, нередкое явление. В частности, большие риски несут устаревшие версии прошивок, — говорят эксперты BSI. — Все мы несем ответственность: производители и розничные продавцы обязаны следить за тем, чтобы такие устройства не появлялись на рынке. Но и потребители тоже могут внести свой вклад: кибербезопасность должна быть важным критерием при покупке».
При этом правоохранители отмечают, что из-за огромного разнообразия производителей и моделей устройств под управлением Android, скорее всего, существует множество других девайсов, зараженных Badbox или аналогичной малварью, которые пока не были обнаружены.
В группе риска могут быть смартфоны, планшеты, умные колонки и телевизоры, камеры наблюдения, ТВ-приставки и прочие подключаемые к интернету устройства. В BSI рекомендуют обращать внимание на такие признаки заражения малварью, как: перегрев устройства при простое, внезапное падение производительности, произвольные изменения настроек, странная активность и подключение к неизвестным внешним серверам.
В целом пользователям советуют покупать умные устройства только у надежных производителей, а также отдавать предпочтение продуктам с долгосрочной поддержкой.
