L’Office fédéral allemand de la sécurité de l’information (BSI) a perturbé l’opération de malware BadBox préchargée dans plus de 30 000 appareils Android IoT vendus dans le pays.
Les types d’appareils concernés comprennent les cadres photo numériques, les lecteurs multimédias et les streamers, et potentiellement les smartphones et tablettes.
BadBox est un malware Android préinstallé dans le micrologiciel d’un appareil connecté à Internet qui est utilisé pour voler des données, installer des logiciels malveillants supplémentaires ou permettre aux auteurs de menaces d’accéder à distance au réseau sur lequel se trouve l’appareil.
Lorsqu’un appareil infecté est connecté pour la première fois à Internet, le logiciel malveillant tente de contacter un serveur de commande et de contrôle distant géré par les auteurs de la menace. Ce serveur distant indiquera au malware BadBox quels services malveillants doivent être exécutés sur l’appareil et recevra également des données volées sur le réseau.
Selon BSI, le logiciel malveillant peut voler des codes d’authentification à deux facteurs, installer d’autres logiciels malveillants et créer des comptes de messagerie et de messagerie pour diffuser de fausses informations. Il peut également se livrer à la fraude publicitaire en chargeant et en cliquant sur des publicités en arrière-plan, générant des revenus pour les réseaux de fraude.
Enfin, BadBox peut être configuré pour agir en tant que proxy, permettant à d’autres personnes d’utiliser la bande passante Internet et le matériel de l’appareil pour acheminer leur propre trafic. Cette tactique, connue sous le nom de proxy résidentiel, implique souvent des opérations illégales impliquant l’adresse IP de l’utilisateur.
L’agence allemande de cybersécurité a déclaré avoir bloqué la communication entre les appareils malveillants BadBox et leur infrastructure de commandement et de contrôle (C2) en bloquant les requêtes DNS afin que le logiciel malveillant communique avec les serveurs contrôlés par la police plutôt qu’avec les serveurs de commandement et de contrôle de l’attaquant.
Sinkholing empêche le malware d’envoyer des données volées aux attaquants et de recevoir de nouvelles commandes à exécuter sur l’appareil infecté, empêchant efficacement le malware de fonctionner.
« Le BSI redirige actuellement la communication des appareils concernés vers les serveurs de contrôle des auteurs dans le cadre d’une mesure de sinkholing conformément à la section 7c de la loi BSI ( BSIG) », lit-on dans l’annonce de BSI.
« Cela affecte les fournisseurs qui ont plus de 100 000 clients (plus sur sinkholing). Il n’y a pas de danger aigu pour ces appareils tant que le BSI maintient la mesure de sinkholing. »
Propriétaires d’appareils infectés à notifier
Les propriétaires d’appareils qui sont touchés par cette opération de sinkholing seront avertis par leurs fournisseurs de services Internet en fonction de leur adresse IP.
L’agence indique que toute personne qui reçoit une notification doit immédiatement déconnecter l’appareil de son réseau ou cesser de l’utiliser. Malheureusement, comme le logiciel malveillant était préinstallé avec le micrologiciel, les autres micrologiciels du fabricant de l’appareil ne doivent pas être approuvés et l’appareil doit être retourné ou jeté.
BSI note que tous les appareils concernés exécutaient des versions Android obsolètes et d’anciens micrologiciels, donc même s’ils étaient sécurisés contre BadBox, ils restent vulnérables aux autres logiciels malveillants de botnet aussi longtemps qu’ils sont exposés en ligne.
« Les logiciels malveillants sur les produits compatibles Internet ne sont malheureusement pas un phénomène rare. Les versions obsolètes du firmware en particulier posent un risque énorme », a averti Claudia Plattner, présidente de BSI. « Nous avons tous un devoir ici: les fabricants et les détaillants ont la responsabilité de veiller à ce que de tels dispositifs n’arrivent pas sur le marché. Mais les consommateurs peuvent aussi faire quelque chose: la cybersécurité devrait être un critère important lors de l’achat! »
De plus, l’annonce mentionne qu’en raison de la grande variance des fabricants Android IoT et des itérations d’appareils, il est très probable que de nombreux autres appareils infectés par BadBox ou des logiciels malveillants similaires existent dans le pays, ce que BSI n’a pas pu identifier cette fois.
Cela peut inclure des smartphones et des tablettes, des haut-parleurs intelligents, des caméras de sécurité, des téléviseurs intelligents, des boîtiers de streaming et divers appareils connectés à Internet qui suivent une voie obscure de la fabrication à la revente de réseaux.
Les signes que votre appareil est infecté par des logiciels malveillants botnet incluent une surchauffe lorsqu’il semble inactif, des baisses de performances aléatoires, des modifications inattendues des paramètres, une activité atypique et des connexions à des serveurs externes inconnus.
Pour atténuer le risque d’IOT Android obsolètes, installez une image de micrologiciel d’un fournisseur digne de confiance, désactivez les fonctionnalités de connectivité inutiles et gardez l’appareil isolé des réseaux critiques.
En règle générale, il est recommandé d’acheter des appareils intelligents uniquement auprès de fabricants réputés et de rechercher des produits offrant un support de sécurité à long terme.