BADBOX 2.0 Infecciona Más de un Millón de Dispositivos Android, Advierte el FBI

El Buró Federal de Investigaciones (FBI) emitió el jueves una nueva advertencia sobre BADBOX 2.0, una peligrosa campaña de malware para Android que ha infectado silenciosamente a más de un millón de dispositivos conectados a internet en hogares de todo el mundo. Este malware está convirtiendo la electrónica de consumo de bajo presupuesto y no certificada en herramientas para cibercriminales.

¿Qué es BADBOX 2.0?

BADBOX 2.0 es la última versión del malware BADBOX original que fue descubierto en 2023. Se encuentra principalmente en dispositivos basados en Android fabricados en China, incluidos cajas de streaming digital, televisores inteligentes sin marca, sistemas de infoentretenimiento para vehículos de posventa, marcos digitales, tabletas y proyectores de bajo costo, y otros gadgets de Internet de las Cosas (IoT).

A menudo, estos dispositivos vienen precargados con malware, o se infectan poco después de descargar aplicaciones que contienen puertas traseras ocultas.

“La botnet BADBOX 2.0 consiste en millones de dispositivos infectados y mantiene numerosas puertas traseras a servicios proxy que los actores cibercriminales explotan vendiendo o proporcionando acceso gratuito a redes domésticas comprometidas para ser utilizadas en diversas actividades criminales”, advierte el FBI.

“Los cibercriminales obtienen acceso no autorizado a redes domésticas configurando el producto con software malicioso antes de la compra del usuario o infectando el dispositivo mientras descarga aplicaciones requeridas que contienen puertas traseras, generalmente durante el proceso de configuración”, agregó el FBI.

“Una vez que estos dispositivos IoT comprometidos están conectados a redes domésticas, los dispositivos infectados son susceptibles de convertirse en parte de la botnet BADBOX 2.0 y servicios proxy residenciales conocidos por ser utilizados para actividades maliciosas.”

Según el FBI, una vez que un dispositivo está infectado, se conecta a los servidores de comando y control (C2) del atacante, que luego ejecutan instrucciones para tareas maliciosas. Por ejemplo, el malware oculta ciberataques enrutando el tráfico de los hackers a través de las redes domésticas de las víctimas, hace clic en anuncios en segundo plano para generar ingresos falsos y utiliza credenciales robadas (como nombres de usuario y contraseñas) para acceder a cuentas mientras se oculta detrás de IPs residenciales.

¿Cómo se propagó tan ampliamente?

Inicialmente encontrado preinstalado en cajas de Android TV baratas y sin nombre como la T95, BADBOX se propagó rápidamente por todo el mundo. Aunque la agencia de ciberseguridad de Alemania interrumpió brevemente la versión original en 2024, siguió una resurgencia.

Solo una semana después de la desactivación, los investigadores detectaron 192,000 nuevas infecciones, esta vez afectando no solo a dispositivos oscuros, sino también a marcas convencionales como televisores Yandex y teléfonos inteligentes Hisense.

En marzo de 2025, la firma de seguridad HUMAN’s Satori Threat Intelligence informó que BADBOX 2.0 había infectado a más de un millón de dispositivos en 222 países. Las regiones más afectadas incluyen Brasil (37.6%), EE. UU. (18.2%), México (6.3%) y Argentina (5.3%).

“Este esquema impactó a más de 1 millón de dispositivos de consumo. Los dispositivos conectados a la operación BADBOX 2.0 incluían tabletas de bajo precio, “de marca desconocida”, no certificadas, cajas de TV conectadas (CTV), proyectores digitales y más”, explica HUMAN Security.

“Los dispositivos infectados son dispositivos del Proyecto de Código Abierto de Android, no dispositivos Android TV OS o dispositivos Android certificados por Play Protect. Todos estos dispositivos son fabricados en China continental y enviados a nivel mundial; de hecho, HUMAN observó tráfico asociado a BADBOX 2.0 de 222 países y territorios en todo el mundo.”

Los indicadores de un dispositivo infectado por BADBOX incluyen:

• Tiendas de aplicaciones de terceros sospechosas
• Google Play Protect deshabilitado
• Tráfico de datos extraño o excesivo
• Dispositivos de marcas desconocidas que prometen contenido gratuito o premium

El FBI y Socios Intervienen

En respuesta a BADBOX 2.0, una operación conjunta que involucra a HUMAN, Google, Trend Micro, The Shadowserver Foundation y otros logró bloquear recientemente la comunicación entre más de 500,000 dispositivos comprometidos y los servidores de los atacantes. A pesar de los esfuerzos por interrumpirlo, la botnet crece a medida que las personas conectan sin saber productos comprometidos a sus redes domésticas.

Medidas de Mitigación

Para minimizar la exposición a redes proxy residenciales no autorizadas, el FBI insta a los consumidores a tomar las siguientes precauciones:

• Verifique regularmente los dispositivos conectados en busca de comportamientos inusuales.
• Evite instalar aplicaciones de mercados no oficiales que publicitan contenido de streaming gratuito.
• Monitoree el tráfico de red de su hogar en busca de irregularidades o actividades sospechosas.
• Corte el acceso a internet a cualquier dispositivo que crea que podría estar infectado.
• Asegúrese de que sus dispositivos estén actualizados regularmente con firmware oficial y parches de seguridad.