La Oficina Federal de Seguridad de la Información (BSI) de Alemania ha anunciado que ha interrumpido una operación de malware llamada BADBOX que venía precargada en al menos 30.000 dispositivos conectados a Internet vendidos en todo el país.
En una declaración publicada a principios de esta semana, las autoridades dijeron que cortaron las comunicaciones entre los dispositivos y sus servidores de comando y control (C2) al bloquear los dominios en cuestión. Los dispositivos afectados incluyen marcos de fotos digitales, reproductores multimedia y transmisores, y probablemente teléfonos y tabletas.
“Lo que todos estos dispositivos tienen en común es que tienen versiones de Android obsoletas y se entregaron con malware preinstalado”, dijo la BSI en un comunicado de prensa.
BADBOX fue documentado por primera vez por el equipo de investigación e inteligencia de amenazas Satori de HUMAN en octubre de 2023, y lo describió como un “esquema complejo de actor de amenazas” que implica la implementación del malware Triada para Android en dispositivos Android de bajo costo y sin marca mediante la explotación de eslabones débiles de la cadena de suministro.
Una vez conectado a Internet, el malware integrado en los dispositivos puede recopilar una amplia gama de datos, como códigos de autenticación, e instalar malware adicional.
La operación, que se estima opera desde China, también comprende una botnet de fraude publicitario llamada PEACHPIT que está diseñada para falsificar aplicaciones populares de Android e iOS y su propio tráfico fraudulento desde los dispositivos infectados con BADBOX a través de las aplicaciones. Luego, las impresiones falsas se venden mediante publicidad programática.
“Este ciclo completo de fraude publicitario significa que estaban ganando dinero con impresiones de anuncios falsos en sus propias aplicaciones fraudulentas y falsificadas”, dijo HUMAN en ese momento. “Cualquiera puede comprar accidentalmente un dispositivo BADBOX en línea sin saber que es falso, enchufarlo y, sin saberlo, abrir este malware de puerta trasera”.
La BSI dijo que los dispositivos comprometidos por BADBOX también son capaces de actuar como un servicio de proxy residencial, lo que permite a otros actores de amenazas enrutar su tráfico de Internet a través de ellos y al mismo tiempo evadir la detección. También podrían usarse para crear cuentas en línea en Gmail y WhatsApp.
Además de ordenar a todos los proveedores de Internet del país con más de 100.000 suscriptores que redirijan el tráfico al sumidero, la agencia insta a los consumidores a desconectar de Internet los dispositivos afectados con efecto inmediato.