Fueron entregados con el malware preinstalado
La Oficina Federal de Seguridad Informática de Alemania (BSI) ha anunciado que ha desmantelado una operación de malware llamada BADBOX que venía precargada en al menos 30.000 dispositivos conectados a Internet vendidos en todo el país.
En un comunicado publicado a principios de esta semana, las autoridades dijeron que cortaron las comunicaciones entre los dispositivos y sus servidores de comando y control (C2) mediante el uso de un sahunkholing en los dominios en cuestión. Los dispositivos afectados incluyen marcos de fotos digitales, reproductores multimedia y transmisores, y probablemente teléfonos y tabletas.
"Lo que todos estos dispositivos tienen en común es que tienen versiones obsoletas de Android y fueron entregados con malware preinstalado", dijo la BSI en un comunicado de prensa.
BADBOX fue documentado por primera vez por el equipo de Investigación e Inteligencia de Amenazas Satori de HUMAN en octubre de 2023, describiéndolo como un "esquema complejo de actores de amenazas" que implica la implementación del malware Triada para Android en dispositivos Android de bajo costo y de marcas alternativas mediante la explotación de vínculos débiles en la cadena de suministro.
Una vez conectado a Internet, el malware incrustado en los dispositivos puede recopilar una amplia gama de datos, como códigos de autenticación, e instalar malware adicional.
La operación, que se cree que opera desde China, también incluye una botnet de fraude publicitario llamada PEACHPIT, diseñada para falsificar populares aplicaciones de Android e iOS y su propio tráfico fraudulento desde los dispositivos infectados con BADBOX a través de las aplicaciones. Las impresiones falsas se venden luego a través de publicidad programática.
"Este ciclo completo de fraude publicitario significa que estaban ganando dinero con las impresiones de anuncios falsos en sus propias aplicaciones fraudulentas y falsificadas", dijo HUMAN en ese momento. "Cualquiera puede comprar accidentalmente un dispositivo BADBOX en línea sin siquiera saber que es falso, conectarlo y abrir sin saberlo este malware de puerta trasera".
La BSI afirmó que los dispositivos comprometidos por BADBOX también son capaces de actuar como un servicio de proxy residencial, lo que permite a otros actores de amenazas enrutar su tráfico de Internet a través de ellos y al mismo tiempo evadir la detección. También podrían usarse para crear cuentas en línea en Gmail y WhatsApp.
Además de ordenar a todos los proveedores de Internet del país con más de 100.000 suscriptores que redirijan el tráfico hacia el sinkhole, la agencia insta a los consumidores a desconectar de Internet los dispositivos afectados con efecto inmediato.