Представители ФБР сообщили, что Android-ботнет BadBox 2.0 уже заразил более 1 млн устройств по всему миру. Под атаками находятся ТВ-приставки, планшеты, умные телевизоры, смартфоны и так далее, которые малварь превращает в резидентные прокси.
«Ботнет BadBox 2.0 состоит из миллионов зараженных устройств и содержит многочисленные бэкдоры к прокси, которыми пользуются киберпреступники, продавая или предоставляя бесплатный доступ к скомпрометированным домашним сетям, чтобы использовать их для совершения различных преступных действий», — предупреждает ФБР.
Напомним, что BadBox представляет собой малварь для Android, основанную на коде вредоносного семейства Triada. Зачастую вредонос может предустанавливаться на бюджетные устройства прямо «из коробки», а также заражать их через обновления, вредоносные приложения, которые порой проникают в Google Play и сторонние магазины.
Малварь используется для кражи данных, установки дополнительного вредоносного ПО, а также позволяет злоумышленникам получить удаленный доступ к сети, в которой находится зараженный гаджет.
«Киберпреступники получают несанкционированный доступ к домашним сетям, либо оснащая устройства вредоносным ПО еще до их покупки пользователем, либо заражая их при загрузке необходимых приложений, содержащих бэкдоры, что обычно происходит в процессе настройки, — поясняют в ФБР. — После подключения скомпрометированных IoT-устройств к домашним сетям, они становятся частью ботнета BadBox 2.0 и резидентными прокси, которые обычно используются для вредоносной активности».
Как ранее уже предупреждали ИБ-эксперты, BadBox способен воровать коды двухфакторной аутентификации, устанавливать другие вредоносные программы, а также создавать новые email-аккаунты и учетные записи в мессенджерах для распространения фейковых новостей. Кроме того, операторов BadBox связывают с рекламным мошенничеством, и зараженные гаджеты используются в качестве резидентных прокси. Также известны случаи, когда злоумышленники использовали IP-адреса жертв, чтобы получать доступ к чужим аккаунтам, используя ворованные учетные данные.
Напомним, что впервые BadBox был обнаружен еще в 2023 году независимым ИБ-исследователем Даниэлем Милишичем (Daniel Milisic), который заметил, на Amazon продаются Android-приставки T95, прямо «из коробки» зараженные сложной малварью.
В конце 2024 года немецкие правоохранители попытались вывести из строя часть ботнета BadBox. Но вскоре исследователи из компании BitSight сообщили, что эта операция не сильно повлияла на его работу. Уже в конце декабря ботнет снова насчитывал более 192 000 зараженных устройств по всему миру.
Весной текущего года новую операцию по борьбе с ботнетом возглавили специалисты Human Security, в сотрудничестве с Google, Trend Micro, The Shadowserver Foundation и другими экспертами. Так как ботнет снова резко увеличился почти до миллиона зараженных IoT-девайсов, исследователи присвоили ему имя BadBox 2.0.
«Эта кампания затронула более 1 млн потребительских устройств. Среди устройств, вошедших в ботнет BadBox 2.0 были бюджетные, небрендированные и несертифицированные планшеты, ТВ-приставки, цифровые проекторы и так далее, — писали специалисты в Human Security. — Зараженные устройства представляют собой решения на базе Android Open Source Project, а не устройства на базе Android TV ОС или сертифицированные Play Protect. Все они производятся в материковом Китае и поставляются по всему миру».
По оценкам исследователей, большинство пострадавших гаджетов находятся в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
В марте 2025 года операция позволила осуществить sinkhole ряда доменов ботнета, что нарушило связь с управляющими серверами для 500 000 зараженных устройств.
Однако, по данным ФБР, ботнет снова растет, поскольку потребители приобретают все новые скомпрометированные продукты и подключают их к интернету.
Ниже можно увидеть список, составленный аналитиками Human Security, в который вошли устройства, пострадавшие от заражения BadBox или являющиеся целью для связанных с ним хак-групп.
| Модель устройства | Модель устройства | Модель устройства | Модель устройства |
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
