BADBOX 2.0 Infecta Mais de Um Milhão de Dispositivos Android, Alerta o FBI

O Federal Bureau of Investigation (FBI) emitiu na quinta-feira um novo alerta sobre o BADBOX 2.0, uma perigosa campanha de malware para Android que infectou silenciosamente mais de um milhão de dispositivos conectados à internet em lares ao redor do mundo. Este malware está transformando eletrônicos de consumo de baixo custo e não certificados em ferramentas para cibercriminosos.

O Que É BADBOX 2.0?

BADBOX 2.0 é a versão mais recente do malware BADBOX original que foi descoberto em 2023. Ele é encontrado principalmente em dispositivos Android fabricados na China — incluindo caixas de streaming digital, TVs inteligentes sem marca, sistemas de infotainment automotivos de mercado paralelo, molduras digitais, tablets e projetores de baixo custo, e outros gadgets da Internet das Coisas (IoT).

Frequentemente, esses dispositivos vêm pré-carregados com malware, ou são infectados logo após downloads de aplicativos que contêm portas traseiras ocultas.

“O botnet BADBOX 2.0 consiste em milhões de dispositivos infectados e mantém inúmeras portas traseiras para serviços de proxy que atores cibercriminosos exploram, seja vendendo ou fornecendo acesso gratuito a redes domésticas comprometidas para serem usadas em várias atividades criminosas”, alerta o FBI.

“Cibercriminosos obtêm acesso não autorizado a redes domésticas configurando o produto com software malicioso antes da compra pelos usuários ou infectando o dispositivo enquanto ele baixa aplicativos necessários que contêm portas traseiras, geralmente durante o processo de configuração”, acrescentou o FBI.

“Uma vez que esses dispositivos IoT comprometidos estão conectados às redes domésticas, os dispositivos infectados estão suscetíveis a se tornarem parte do botnet BADBOX 2.0 e serviços de proxy residenciais conhecidos por serem usados para atividades maliciosas.”

De acordo com o FBI, uma vez que um dispositivo é infectado, ele se conecta aos servidores de comando e controle (C2) do atacante, que então executam instruções para tarefas maliciosas. Por exemplo, o malware mascara ciberataques roteando o tráfego dos hackers através das redes domésticas das vítimas, clica em anúncios em segundo plano para gerar receita falsa e usa credenciais roubadas (como nomes de usuário e senhas) para invadir contas enquanto se esconde atrás de IPs residenciais.

Como Ele Se Espalhou Tão Amplamente?

Inicialmente encontrado pré-instalado em caixas de TV Android baratas e sem nome, como a T95, o BADBOX rapidamente se espalhou pelo mundo. Embora a agência de cibersegurança da Alemanha tenha interrompido brevemente a versão original em 2024, uma ressurgência se seguiu.

Apenas uma semana após a desativação, 192.000 novas infecções foram detectadas pelos pesquisadores — desta vez afetando não apenas dispositivos obscuros, mas também marcas populares como TVs Yandex e smartphones Hisense.

Em março de 2025, a empresa de segurança HUMAN’s Satori Threat Intelligence relatou que o BADBOX 2.0 havia infectado mais de um milhão de dispositivos em 222 países. As regiões mais afetadas incluem Brasil (37,6%), EUA (18,2%), México (6,3%) e Argentina (5,3%).

“Esse esquema impactou mais de 1 milhão de dispositivos de consumo. Dispositivos conectados à operação BADBOX 2.0 incluíam tablets de baixo custo, sem marca, não certificados, caixas de TV conectadas (CTV), projetores digitais e mais”, explica a HUMAN Security.

“Os dispositivos infectados são dispositivos do Android Open Source Project, não dispositivos Android TV OS ou dispositivos Android certificados pelo Play Protect. Todos esses dispositivos são fabricados na China continental e enviados globalmente; de fato, a HUMAN observou tráfego associado ao BADBOX 2.0 de 222 países e territórios em todo o mundo.”

Indicadores de um dispositivo infectado por BADBOX incluem:

• Lojas de aplicativos de terceiros suspeitas
• Google Play Protect desativado
• Tráfego de dados estranho ou excessivo
• Dispositivos de marcas desconhecidas prometendo conteúdo gratuito ou premium

FBI E Parceiros Intervêm **

Em resposta ao BADBOX 2.0, uma operação conjunta envolvendo HUMAN, Google, Trend Micro, The Shadowserver Foundation e outros conseguiu recentemente bloquear a comunicação entre mais de 500.000 dispositivos comprometidos e os servidores dos atacantes. Apesar dos esforços para interrompê-lo, o botnet cresce à medida que as pessoas conectam sem saber produtos comprometidos às suas redes domésticas.

Medidas de Mitigação

Para minimizar a exposição a redes de proxy residenciais não autorizadas, o FBI recomenda que os consumidores tomem as seguintes precauções:

• Verifique regularmente os dispositivos conectados em busca de comportamentos incomuns.
• Evite instalar aplicativos de marketplaces não oficiais que anunciam conteúdo de streaming gratuito.
• Monitore o tráfego da rede da sua casa em busca de irregularidades ou atividades suspeitas.
• Corte o acesso à internet de qualquer dispositivo que você acha que pode estar infectado.
• Certifique-se de que seus dispositivos estejam atualizados regularmente com firmware oficial e patches de segurança.