BADBOX 2.0 Infetta Oltre un Milione di Dispositivi Android, Avverte l'FBI

Il Federal Bureau of Investigation (FBI) giovedì ha emesso un nuovo avviso riguardo BADBOX 2.0, una pericolosa campagna di malware Android che ha silenziosamente infettato più di un milione di dispositivi connessi a Internet nelle case di tutto il mondo. Questo malware sta trasformando ogni giorno dispositivi elettronici di consumo a basso costo e non certificati in strumenti per i criminali informatici.

Cos’è BADBOX 2.0?

BADBOX 2.0 è l’ultima versione del malware BADBOX originale scoperto nel 2023. Si trova principalmente su dispositivi Android di produzione cinese, inclusi box per streaming digitale, smart TV non marchiati, sistemi di infotainment per veicoli aftermarket, cornici digitali, tablet e proiettori a basso costo, e altri gadget dell’Internet delle Cose (IoT).

Spesso, questi dispositivi vengono forniti preinstallati con malware, o vengono infettati poco dopo il download di app contenenti backdoor nascoste.

“Il botnet BADBOX 2.0 è composto da milioni di dispositivi infetti e mantiene numerose backdoor per servizi proxy che gli attori criminali informatici sfruttano vendendo o fornendo accesso gratuito a reti domestiche compromesse da utilizzare per varie attività criminali,” avverte l’FBI.

“I criminali informatici ottengono accesso non autorizzato alle reti domestiche configurando il prodotto con software dannoso prima dell’acquisto da parte degli utenti o infettando il dispositivo mentre scarica applicazioni necessarie che contengono backdoor, di solito durante il processo di configurazione,” ha aggiunto l’FBI.

“Una volta che questi dispositivi IoT compromessi sono connessi alle reti domestiche, i dispositivi infetti sono suscettibili di diventare parte del botnet BADBOX 2.0 e dei servizi proxy residenziali noti per essere utilizzati per attività dannose.”

Secondo l’FBI, una volta che un dispositivo è infetto, si collega ai server di comando e controllo (C2) dell’attaccante, che poi eseguono istruzioni per compiti dannosi. Ad esempio, il malware maschera gli attacchi informatici instradando il traffico degli hacker attraverso le reti domestiche delle vittime, clicca su annunci in background per generare entrate false e utilizza credenziali rubate (come nomi utente e password) per accedere a conti mentre si nasconde dietro indirizzi IP residenziali.

Come si è Diffuso Così Ampiamente?

Inizialmente trovato preinstallato in box TV Android economici e senza nome come il T95, BADBOX si è rapidamente diffuso in tutto il mondo. Sebbene l’agenzia di cybersicurezza della Germania abbia brevemente interrotto la versione originale nel 2024, è seguita una ripresa.

Solo una settimana dopo la rimozione, i ricercatori hanno rilevato 192.000 nuove infezioni, questa volta colpendo non solo dispositivi oscuri ma anche marchi mainstream come le TV Yandex e gli smartphone Hisense.

Nel marzo 2025, la società di sicurezza HUMAN’s Satori Threat Intelligence ha riportato che BADBOX 2.0 aveva infettato più di un milione di dispositivi in 222 paesi. Le regioni più colpite includono il Brasile (37,6%), gli Stati Uniti (18,2%), il Messico (6,3%) e l’Argentina (5,3%).

“Questo schema ha colpito più di 1 milione di dispositivi di consumo. I dispositivi connessi all’operazione BADBOX 2.0 includevano tablet a basso costo, box CTV, proiettori digitali e altro,” spiega HUMAN Security.

“I dispositivi infetti sono dispositivi del Progetto Open Source Android, non dispositivi Android TV OS o dispositivi Android certificati Play Protect. Tutti questi dispositivi sono prodotti nella Cina continentale e spediti a livello globale; infatti, HUMAN ha osservato traffico associato a BADBOX 2.0 proveniente da 222 paesi e territori in tutto il mondo.”

Indicatori di un dispositivo infetto da BADBOX includono:

• Negozi di app di terze parti sospetti
• Google Play Protect disabilitato
• Traffico dati strano o eccessivo
• Dispositivi di marchi sconosciuti che promettono contenuti gratuiti o premium

FBI e Partner Intervengono **

In risposta a BADBOX 2.0, un’operazione congiunta che coinvolge HUMAN, Google, Trend Micro, The Shadowserver Foundation e altri è recentemente riuscita a bloccare la comunicazione tra oltre 500.000 dispositivi compromessi e i server degli attaccanti. Nonostante gli sforzi per interromperlo, il botnet cresce mentre le persone collegano inconsapevolmente prodotti compromessi alle loro reti domestiche.

Misure di Mitigazione

Per ridurre l’esposizione a reti proxy residenziali non autorizzate, l’FBI esorta i consumatori a prendere le seguenti precauzioni:

• Controllare regolarmente i dispositivi connessi per comportamenti insoliti.
• Evitare di installare app da marketplace non ufficiali che pubblicizzano contenuti di streaming gratuiti.
• Monitorare il traffico di rete della propria casa per irregolarità o attività sospette.
• Interrompere l’accesso a Internet a qualsiasi dispositivo si sospetti possa essere infetto.
• Assicurarsi che i propri dispositivi siano aggiornati regolarmente con firmware ufficiali e patch di sicurezza.