BADBOX 2.0 Infecte Plus d'un Million d'Appareils Android, Avertit le FBI

Le Federal Bureau of Investigation (FBI) a publié jeudi un nouvel avertissement concernant BADBOX 2.0, une campagne de malware Android dangereuse qui a discrètement infecté plus d’un million d’appareils connectés à Internet dans des foyers du monde entier. Ce malware transforme des appareils électroniques grand public, à petit budget et non certifiés en outils pour les cybercriminels.

Qu’est-ce que BADBOX 2.0 ?

BADBOX 2.0 est la dernière version du malware BADBOX original qui a été découvert en 2023. Il se trouve principalement sur des appareils Android fabriqués en Chine, y compris des boîtiers de streaming numérique, des téléviseurs intelligents non marqués, des systèmes d’infodivertissement pour véhicules de rechange, des cadres photo numériques, des tablettes et des projecteurs à petit budget, et d’autres gadgets de l’Internet des objets (IoT).

Souvent, ces appareils sont préchargés avec des malwares, ou ils sont infectés peu après le téléchargement d’applications contenant des portes dérobées cachées.

« Le botnet BADBOX 2.0 se compose de millions d’appareils infectés et maintient de nombreuses portes dérobées vers des services proxy que les acteurs cybercriminels exploitent en vendant ou en fournissant un accès gratuit à des réseaux domestiques compromis pour diverses activités criminelles », avertit le FBI.

« Les cybercriminels obtiennent un accès non autorisé aux réseaux domestiques soit en configurant le produit avec un logiciel malveillant avant l’achat par les utilisateurs, soit en infectant l’appareil lors du téléchargement d’applications requises contenant des portes dérobées, généralement pendant le processus de configuration », a ajouté le FBI.

« Une fois ces appareils IoT compromis connectés aux réseaux domestiques, les appareils infectés sont susceptibles de faire partie du botnet BADBOX 2.0 et des services proxy résidentiels connus pour être utilisés à des fins malveillantes. »

Selon le FBI, une fois qu’un appareil est infecté, il se connecte aux serveurs de commande et de contrôle (C2) de l’attaquant, qui exécutent ensuite des instructions pour des tâches malveillantes. Par exemple, le malware masque les cyberattaques en acheminant le trafic des hackers à travers les réseaux domestiques des victimes, clique sur des publicités en arrière-plan pour générer des revenus fictifs, et utilise des identifiants volés (comme des noms d’utilisateur et des mots de passe) pour pénétrer dans des comptes tout en se cachant derrière des adresses IP résidentielles.

Comment s’est-il répandu si largement ?

Initialement trouvé préinstallé dans des boîtiers Android TV bon marché et sans nom comme le T95, BADBOX s’est rapidement répandu à travers le monde. Bien que l’agence de cybersécurité allemande ait brièvement perturbé la version originale en 2024, une résurgence a suivi.

Juste une semaine après la suppression, 192 000 nouvelles infections ont été détectées par les chercheurs, cette fois affectant non seulement des appareils obscurs mais aussi des marques grand public comme les téléviseurs Yandex et les smartphones Hisense.

En mars 2025, la société de sécurité HUMAN’s Satori Threat Intelligence a rapporté que BADBOX 2.0 avait infecté plus d’un million d’appareils dans 222 pays. Les régions les plus touchées comprennent le Brésil (37,6 %), les États-Unis (18,2 %), le Mexique (6,3 %) et l’Argentine (5,3 %).

« Ce schéma a touché plus de 1 million d’appareils grand public. Les appareils connectés à l’opération BADBOX 2.0 comprenaient des tablettes non certifiées à bas prix, des boîtiers de télévision connectée (CTV), des projecteurs numériques, et plus encore », explique HUMAN Security.

« Les appareils infectés sont des appareils du projet Android Open Source, pas des appareils Android TV OS ou des appareils Android certifiés Play Protect. Tous ces appareils sont fabriqués en Chine continentale et expédiés dans le monde entier ; en effet, HUMAN a observé un trafic associé à BADBOX 2.0 provenant de 222 pays et territoires dans le monde. »

Les indicateurs d’un appareil infecté par BADBOX incluent :

• Magasins d’applications tiers suspects
• Google Play Protect désactivé
• Trafic de données étrange ou excessif
• Appareils de marques inconnues promettant du contenu gratuit ou premium

Le FBI et ses partenaires interviennent

En réponse à BADBOX 2.0, une opération conjointe impliquant HUMAN, Google, Trend Micro, The Shadowserver Foundation, et d’autres a récemment réussi à bloquer la communication entre plus de 500 000 appareils compromis et les serveurs des attaquants. Malgré les efforts pour le perturber, le botnet continue de croître alors que les gens connectent sans le savoir des produits compromis à leurs réseaux domestiques.

Mesures d’atténuation

Pour minimiser l’exposition aux réseaux proxy résidentiels non autorisés, le FBI exhorte les consommateurs à prendre les précautions suivantes :

• Vérifiez régulièrement les appareils connectés pour un comportement inhabituel.
• Évitez d’installer des applications provenant de marchés non officiels faisant la publicité de contenu de streaming gratuit.
• Surveillez le trafic réseau de votre maison pour des irrégularités ou une activité suspecte.
• Coupez l’accès Internet à tout appareil que vous pensez être infecté.
• Assurez-vous que vos appareils sont régulièrement mis à jour avec des firmwares et des correctifs de sécurité officiels.