BADBOX 2.0 Infiziert Über Eine Million Android-Geräte, Warnt das FBI

Das Federal Bureau of Investigation (FBI) hat am Donnerstag eine neue Warnung zu BADBOX 2.0 herausgegeben, einer gefährlichen Android-Malware-Kampagne, die heimlich mehr als eine Million internetverbundene Geräte in Haushalten weltweit infiziert hat. Diese Malware verwandelt alltägliche, kostengünstige und nicht zertifizierte Unterhaltungselektronik in Werkzeuge für Cyberkriminelle.

Was Ist BADBOX 2.0?

BADBOX 2.0 ist die neueste Version der ursprünglichen BADBOX-Malware, die 2023 entdeckt wurde. Sie ist hauptsächlich auf in China hergestellten Android-basierten Geräten zu finden – einschließlich digitaler Streaming-Boxen, unmarkierter Smart-TVs, Nachrüst-Infotainmentsysteme für Fahrzeuge, digitaler Bilderrahmen, kostengünstiger Tablets und Projektoren sowie anderer Internet of Things (IoT)-Geräte.

Oft kommen diese Geräte vorinstalliert mit Malware oder sie werden kurz nach dem Herunterladen von Apps, die versteckte Hintertüren enthalten, infiziert.

„Botnetz BADBOX 2.0 besteht aus Millionen infizierter Geräte und unterhält zahlreiche Hintertüren zu Proxy-Diensten, die von Cyberkriminellen ausgenutzt werden, indem sie entweder verkauft oder kostenloser Zugang zu kompromittierten Heimnetzwerken bereitgestellt wird, um für verschiedene kriminelle Aktivitäten genutzt zu werden“, warnt das FBI.

„Cyberkriminelle erlangen unbefugten Zugang zu Heimnetzwerken, indem sie entweder das Produkt vor dem Kauf des Nutzers mit bösartiger Software konfigurieren oder das Gerät infizieren, während es erforderliche Anwendungen herunterlädt, die Hintertüren enthalten, normalerweise während des Einrichtungsprozesses“, fügte das FBI hinzu.

„Sobald diese kompromittierten IoT-Geräte mit Heimnetzwerken verbunden sind, sind die infizierten Geräte anfällig dafür, Teil des BADBOX 2.0-Botnetzes und der Wohnproxy-Dienste zu werden, die für bösartige Aktivitäten bekannt sind.“

Laut dem FBI verbindet sich ein infiziertes Gerät mit den Command-and-Control (C2)-Servern des Angreifers, die dann Anweisungen für bösartige Aufgaben ausführen. Beispielsweise maskiert die Malware Cyberangriffe, indem sie Hackerverkehr durch die Heimnetzwerke der Opfer leitet, klickt im Hintergrund auf Anzeigen, um gefälschte Einnahmen zu generieren, und verwendet gestohlene Anmeldedaten (wie Benutzernamen und Passwörter), um in Konten einzubrechen, während sie sich hinter Wohn-IP-Adressen versteckt.

Wie Hat Es Sich So Weit Ausgebreitet?

Ursprünglich in billigen, namenlosen Android-TV-Boxen wie der T95 vorinstalliert, verbreitete sich BADBOX schnell weltweit. Obwohl die Cyber-Sicherheitsbehörde Deutschlands die ursprüngliche Version 2024 kurzzeitig störte, folgte eine Wiederbelebung.

Nur eine Woche nach der Zerschlagung wurden von den Forschern 192.000 neue Infektionen festgestellt – diesmal betraf es nicht nur obskure Geräte, sondern auch Mainstream-Marken wie Yandex-TVs und Hisense-Smartphones.

Im März 2025 berichtete die Sicherheitsfirma HUMAN’s Satori Threat Intelligence, dass BADBOX 2.0 mehr als eine Million Geräte in 222 Ländern infiziert hatte. Die am stärksten betroffenen Regionen sind Brasilien (37,6 %), die USA (18,2 %), Mexiko (6,3 %) und Argentinien (5,3 %).

„Dieses Schema betraf mehr als 1 Million Verbrauchgeräte. Geräte, die mit der BADBOX 2.0-Operation verbunden sind, umfassen kostengünstige, „No-Name“, nicht zertifizierte Tablets, verbundene TV (CTV)-Boxen, digitale Projektoren und mehr“, erklärt HUMAN Security.

„Die infizierten Geräte sind Android Open Source Project-Geräte, keine Android TV OS-Geräte oder Play Protect-zertifizierten Android-Geräte. Alle diese Geräte werden in Festlandchina hergestellt und weltweit versendet; tatsächlich beobachtete HUMAN BADBOX 2.0-assoziierten Verkehr aus 222 Ländern und Gebieten weltweit.“

Anzeichen für ein BADBOX-infiziertes Gerät sind:

• Verdächtige Drittanbieter-App-Stores
• Deaktivierter Google Play Protect
• Seltsamer oder übermäßiger Datenverkehr
• Geräte von unbekannten Marken, die kostenlosen oder Premium-Inhalt versprechen

FBI Und Partner Treten Ein

Als Reaktion auf BADBOX 2.0 gelang es einer gemeinsamen Operation, an der HUMAN, Google, Trend Micro, die Shadowserver Foundation und andere beteiligt waren, kürzlich, die Kommunikation zwischen über 500.000 kompromittierten Geräten und den Servern der Angreifer zu blockieren. Trotz der Bemühungen, es zu stören, wächst das Botnetz, da Menschen unwissentlich kompromittierte Produkte mit ihren Heimnetzwerken verbinden.

Minderungsmaßnahmen

Um die Exposition gegenüber unbefugten Wohnproxy-Netzwerken zu minimieren, fordert das FBI die Verbraucher auf, die folgenden Vorsichtsmaßnahmen zu treffen:

• Überprüfen Sie regelmäßig verbundene Geräte auf ungewöhnliches Verhalten.
• Vermeiden Sie die Installation von Apps aus inoffiziellen Marktplätzen, die kostenlosen Streaming-Inhalt bewerben.
• Überwachen Sie den Netzwerkverkehr Ihres Hauses auf Unregelmäßigkeiten oder verdächtige Aktivitäten.
• Trennen Sie den Internetzugang zu jedem Gerät, von dem Sie denken, dass es infiziert sein könnte.
• Stellen Sie sicher, dass Ihre Geräte regelmäßig mit offizieller Firmware und Sicherheitsupdates aktualisiert werden.