Todos los dispositivos afectados se fabrican en China continental y se envían a nivel mundial
Se han identificado al menos cuatro actores de amenazas diferentes involucrados en una versión actualizada de un masivo fraude publicitario y un esquema de proxy residencial llamado BADBOX, lo que pinta un panorama de un ecosistema interconectado de ciberdelito.
Esto incluye a SalesTracker Group, MoYu Group, Lemon Group y LongTV, según los nuevos hallazgos del equipo de inteligencia e investigación de amenazas de HUMAN Satori, publicados en colaboración con Google, Trend Micro, Shadowserver y otros socios.
La compleja y extensa operación de fraude, denominada BADBOX 2.0, se ha descrito como la mayor botnet de dispositivos de TV conectados (TVC) infectados jamás descubierta.
"BADBOX 2.0, al igual que su predecesor, comienza con puertas traseras en dispositivos de consumo de bajo costo que permiten a los actores de amenazas cargar módulos de fraude de forma remota", dijo la compañía. "Estos dispositivos se comunican con servidores de comando y control (C2) propiedad de y operados por una serie de actores de amenazas distintos pero cooperativos".
Se sabe que los actores de amenazas explotan varios métodos, desde violaciones de la cadena de suministro de hardware hasta mercados de terceros, para distribuir lo que aparentemente parecen ser aplicaciones benignas que contienen una funcionalidad de "cargador" subrepticia para infectar estos dispositivos y aplicaciones con la puerta trasera.
Posteriormente, la puerta trasera hace que los dispositivos infectados se conviertan en parte de una red de bots más grande que se utiliza de forma abusiva para realizar fraudes publicitarios programáticos, fraudes de clics y ofrece servicios de proxy residencial ilícitos:
• Anuncios ocultos y lanzamiento de WebViews ocultos para generar ingresos publicitarios falsos.
• Navegación a dominios de baja calidad y clics en anuncios para obtener ganancias económicas.
• Enrutamiento de tráfico a través de dispositivos comprometidos.
• Uso de la red para la apropiación de cuentas (ATO), creación de cuentas falsas, distribución de malware y ataques DDoS.
Se estima que un millón de dispositivos, principalmente tabletas Android económicas, decodificadores de TV conectada (CTV), proyectores digitales y sistemas de información y entretenimiento para automóviles, han sido víctimas del plan BADBOX 2.0. Todos los dispositivos afectados se fabrican en China continental y se envían a nivel mundial. La mayoría de las infecciones se han reportado en Brasil (37,6%), Estados Unidos (18,2%), México (6,3%) y Argentina (5,3%).
La operación ha sido interrumpida parcialmente por segunda vez en tres meses después de que un número no revelado de dominios BADBOX 2.0 fueran pirateados en un intento de cortar las comunicaciones con los dispositivos infectados. Google, por su parte, eliminó 24 aplicaciones de Play Store que distribuían el malware. El gobierno alemán había desmantelado previamente una parte de su infraestructura en diciembre de 2024.
"Los dispositivos infectados son dispositivos del Proyecto Android de código abierto, no dispositivos con sistema operativo Android TV ni dispositivos Android certificados con Play Protect", afirmó Google. "Si un dispositivo no cuenta con la certificación Play Protect, Google no cuenta con un registro de resultados de pruebas de seguridad y compatibilidad. Los dispositivos Android con certificación Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario".
La puerta trasera que forma el núcleo de la operación se basa en un malware para Android conocido como Triada. Su nombre en código es BB2DOOR y se propaga de tres maneras diferentes: un componente preinstalado en el dispositivo, se obtiene de un servidor remoto cuando se inicia por primera vez y se descarga a través de más de 200 versiones troyanizadas de populares aplicaciones de tiendas de terceros.
Se dice que es obra de un grupo de amenazas llamado MoYu Group, que anuncia servicios de proxy residencial basados en dispositivos infectados con BADBOX 2.0. Otros tres grupos de amenazas se encargan de supervisar otros aspectos del esquema:
• SalesTracker Group, que está conectado a la operación BADBOX original, así como a un módulo que monitorea los dispositivos infectados
• Lemon Group, que está conectado a servicios de proxy residencial basados en BADBOX y una campaña de fraude publicitario en una red de sitios web de juegos HTML5 (H5) que utilizan BADBOX 2.0
• LongTV, una empresa de internet y medios de comunicación de Malasia cuyas dos docenas de aplicaciones están detrás de una campaña de fraude publicitario basada en un enfoque conocido como "evil twin (gemelo malvado)".
"Estos grupos estaban conectados entre sí a través de una infraestructura compartida (servidores C2 comunes) y vínculos comerciales históricos y actuales", dijo HUMAN.
La última iteración representa una evolución y adaptación significativa; los ataques también se basan en aplicaciones infectadas de tiendas de aplicaciones de terceros y una versión más sofisticada del malware que implica modificar bibliotecas legítimas de Android para configurar la persistencia.
Curiosamente, hay algunas pruebas que sugieren superposiciones entre BB2DOOR y Vo1d, otro malware que se sabe que ataca específicamente a TV boxes basados en Android de otras marcas.
"La amenaza BADBOX 2.0, en particular, es atractiva en gran parte debido a la naturaleza de la operación de temporada abierta", añadió la compañía. "Con la puerta trasera activada, los dispositivos infectados podrían recibir instrucciones para ejecutar cualquier ciberataque que un actor de amenazas haya desarrollado".
El desarrollo ocurre luego de que Google eliminó más de 180 aplicaciones de Android que abarcaban 56 millones de descargas por su participación en un sofisticado esquema de fraude publicitario denominado Vapor que aprovecha falsas aplicaciones de Android para implementar anuncios de video intersticiales de pantalla completa interminables e intrusivos, según el IAS Threat Lab.
También sigue el descubrimiento de una nueva campaña que emplea sitios señuelo con la temática de DeepSeek para engañar a usuarios desprevenidos para que descarguen un malware bancario para Android conocido como Octo.
