BADBOX 2.0 заражает более миллиона устройств Android, предупреждает ФБР

Федеральное бюро расследований (ФБР) в четверг выпустило новое предупреждение о BADBOX 2.0, опасной кампании вредоносного ПО для Android, которая тихо заразила более миллиона подключенных к интернету устройств в домах по всему миру. Это вредоносное ПО превращает каждую повседневную, бюджетную и несертифицированную потребительскую электронику в инструменты для киберпреступников.

Что такое BADBOX 2.0?

BADBOX 2.0 — это последняя версия оригинального вредоносного ПО BADBOX, которое было обнаружено в 2023 году. Оно в основном встречается на устройствах, произведенных в Китае, на базе Android, включая цифровые стриминговые приставки, небрендированные смарт-телевизоры, системы информационно-развлекательных устройств для автомобилей, цифровые фоторамки, бюджетные планшеты и проекторы, а также другие гаджеты Интернета вещей (IoT).

Часто эти устройства поставляются с предустановленным вредоносным ПО или заражаются вскоре после загрузки приложений, содержащих скрытые задние двери.

«Ботнет BADBOX 2.0 состоит из миллионов зараженных устройств и поддерживает множество задних дверей для прокси-сервисов, которые киберпреступники используют, либо продавая, либо предоставляя бесплатный доступ к скомпрометированным домашним сетям для различных преступных действий», — предупреждает ФБР.

«Киберпреступники получают несанкционированный доступ к домашним сетям, либо настраивая продукт с вредоносным ПО до покупки пользователем, либо заражая устройство во время загрузки необходимых приложений, содержащих задние двери, обычно в процессе настройки», — добавило ФБР.

«Как только эти скомпрометированные IoT-устройства подключаются к домашним сетям, зараженные устройства становятся уязвимыми для того, чтобы стать частью ботнета BADBOX 2.0 и жилых прокси-сервисов, известных как используемые для злонамеренной деятельности.»

Согласно ФБР, как только устройство заражается, оно связывается с серверами командования и управления (C2) злоумышленника, которые затем выполняют инструкции для злонамеренных задач. Например, вредоносное ПО маскирует кибератаки, перенаправляя трафик хакеров через домашние сети жертв, кликая на рекламу в фоновом режиме для генерации поддельного дохода и используя украденные учетные данные (такие как имена пользователей и пароли) для взлома аккаунтов, скрываясь за жилыми IP-адресами.

Как оно так широко распространилось?

Изначально обнаруженное предустановленным в дешевых, безымянных Android TV-приставках, таких как T95, BADBOX быстро распространилось по всему миру. Хотя кибербезопасность Германии на короткое время нарушила оригинальную версию в 2024 году, последовал ренессанс.

Всего через неделю после ликвидации исследователи обнаружили 192 000 новых заражений — на этот раз затронув не только неизвестные устройства, но и основные бренды, такие как телевизоры Яндекс и смартфоны Hisense.

В марте 2025 года компания HUMAN’s Satori Threat Intelligence сообщила, что BADBOX 2.0 заразила более миллиона устройств в 222 странах. Наиболее пострадавшие регионы включают Бразилию (37,6%), США (18,2%), Мексику (6,3%) и Аргентину (5,3%).

«Эта схема затронула более 1 миллиона потребительских устройств. Устройства, подключенные к операции BADBOX 2.0, включали планшеты низкой ценовой категории, «безымянные», несертифицированные, подключенные телевизоры (CTV), цифровые проекторы и многое другое», — объясняет HUMAN Security.

«Зараженные устройства — это устройства Android Open Source Project, а не устройства Android TV OS или сертифицированные устройства Android Play Protect. Все эти устройства производятся на материковом Китае и отправляются по всему миру; действительно, HUMAN наблюдала трафик, связанный с BADBOX 2.0, из 222 стран и территорий по всему миру.»

Признаки зараженного устройства BADBOX включают:

• Подозрительные магазины приложений третьих сторон
• Отключенный Google Play Protect
• Странный или чрезмерный трафик данных
• Устройства от неизвестных брендов, обещающие бесплатный или премиум-контент

ФБР и партнеры вмешиваются

В ответ на BADBOX 2.0 совместная операция с участием HUMAN, Google, Trend Micro, Фонда Shadowserver и других недавно смогла заблокировать связь между более чем 500 000 скомпрометированными устройствами и серверами злоумышленников. Несмотря на усилия по его разрушению, ботнет растет, так как люди неосознанно подключают скомпрометированные продукты к своим домашним сетям.

Меры по смягчению последствий

Чтобы минимизировать воздействие несанкционированных жилых прокси-сетей, ФБР призывает потребителей принять следующие меры предосторожности:

• Регулярно проверяйте подключенные устройства на наличие необычного поведения.
• Избегайте установки приложений из неофициальных магазинов, рекламирующих бесплатный контент для стриминга.
• Следите за трафиком вашей домашней сети на предмет irregularities или подозрительной активности.
• Отключите доступ в интернет к любому устройству, которое, по вашему мнению, может быть заражено.
• Убедитесь, что ваши устройства регулярно обновляются с официальным программным обеспечением и патчами безопасности.