Le botnet malveillant BadBox Android a de nouveau été perturbé en supprimant 24 applications malveillantes de Google Play et en bloquant les communications d’un demi-million d’appareils infectés.
Le botnet BadBox est une opération de cyberfraude ciblant principalement les appareils Android à faible coût tels que les boîtiers de streaming TV, les tablettes, les téléviseurs intelligents et les smartphones.
Ces appareils sont préchargés avec le logiciel malveillant BadBox du fabricant ou sont infectés par des applications malveillantes ou des téléchargements de micrologiciels.
Le logiciel malveillant transforme ensuite les appareils en proxys résidentiels, génère de fausses impressions publicitaires sur les appareils infectés, redirige les utilisateurs vers des domaines de mauvaise qualité dans le cadre d’opérations frauduleuses de distribution du trafic et utilise les adresses IP des utilisateurs pour créer de faux comptes et effectuer des attaques de bourrage d’informations d’identification.
En décembre dernier, les autorités allemandes ont interrompu le malware pour les appareils infectés dans le pays. Cependant, quelques jours plus tard, BitSight a signalé que le logiciel malveillant avait été trouvé dans au moins 192 000 appareils, montrant une résilience face aux mesures répressives.
Depuis lors, on estime que le botnet est passé à plus de 1 000 000 d’infections, affectant les appareils Android dans 222 pays, la plupart étant situés au Brésil (37,6%), aux États-Unis (18,2%), au Mexique (6,3%) et en Argentine (5,3%).
Nouvelle perturbation de la BadBox
L’équipe Satori Threat Intelligence de HUMAN a dirigé la dernière opération de perturbation en collaboration avec Google, Trend Micro, la Shadowserver Foundation et d’autres partenaires.
En raison de l’inflation soudaine de la taille du botnet, HUMAN l’appelle désormais « BadBox 2.0 », indiquant une nouvelle ère dans son fonctionnement.
« Ce programme a eu un impact sur plus d’un million d’appareils grand public. Les appareils connectés au fonctionnement de la BADBOX 2.0 comprenaient des tablettes à prix réduit, « hors marque », non certifiées, des boîtiers de télévision connectée( CTV), des projecteurs numériques, etc. », explique HUMAN.
« Les appareils infectés sont des appareils Android Open Source Project, et non des appareils Android TV OS ou des appareils Android certifiés Play Protect. Tous ces appareils sont fabriqués en Chine continentale et expédiés dans le monde entier; en effet, L’HOMME a observé le trafic associé à BADBOX 2.0 dans 222 pays et territoires à travers le monde. »
HUMAN dit avoir trouvé des preuves que le botnet sert et est pris en charge par plusieurs groupes de menaces ayant des rôles ou des avantages distincts.
Ces groupes sont SalesTracker (gestion de l’infrastructure), MoYu (développement de portes dérobées et de botnets), Lemon (campagnes de fraude publicitaire) et LongTV (développement d’applications malveillantes).
Les appareils Android infectés par le malware BadBox se connecteront régulièrement aux serveurs de commande et de contrôle contrôlés par l’attaquant pour recevoir de nouveaux paramètres de configuration et commandes à exécuter sur l’appareil infecté.
HUMAN a déclaré à Breachtrace qu’en partenariat avec la Shadowserver Foundation, les chercheurs ont sinkholé près d’un millier de domaines BADBOX 2.0 pour empêcher plus de 500 000 appareils infectés de communiquer avec des serveurs de commande et de contrôle (C2) mis en place par des acteurs de la menace.
Lorsqu’un domaine est sinkholé, il est repris par les chercheurs, ce qui leur permet de surveiller toutes les connexions établies par les appareils infectés vers ce domaine et de collecter des données sur le botnet. Comme les appareils infectés ne peuvent plus se connecter aux domaines contrôlés par l’attaquant, le logiciel malveillant est mis en sommeil, perturbant efficacement l’infection.
HUMAN dit qu’il a également découvert 24 applications Android dans l’app Store officiel, Google Play, qui ont installé le malware BadBox sur les appareils Android. Certaines applications, telles que « Gagner un revenu supplémentaire » et « Calculateur d’ovulation de grossesse » de Seekiny Studio, comptaient plus de 50 000 téléchargements chacune.
Google a supprimé les applications de Google Play et a ajouté une règle d’application Play Protect pour avertir les utilisateurs et bloquer l’installation des applications associées à BadBox 2.0 sur les appareils Android certifiés.
De plus, le géant de la technologie a résilié les comptes d’éditeurs qui se livraient à une fraude publicitaire associée à l’opération de la Bad Box, empêchant la monétisation via Google Ads.
Cependant, il est important de noter que Google ne peut pas désinfecter les appareils Android non certifiés Play Protect vendus dans le monde entier, donc bien que BadBox 2.0 ait été perturbé, il n’a pas été éliminé.
En fin de compte, tant que les consommateurs achètent des appareils Android basés sur PSBA, tels que des téléviseurs hors marque, qui ne prennent pas en charge officiellement les services Google Play, ils risquent d’utiliser du matériel préchargé avec des logiciels malveillants.
Une liste des appareils connus pour être affectés par le malware Bad Box est répertoriée ci-dessous:
| Modèle d’Appareil | Modèle d’Appareil | Modèle d’Appareil | Modèle d’Appareil |
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
En réponse à la perturbation, Google a partagé la déclaration suivante avec Breachtrace .
« Nous apprécions la collaboration avec HUMAN pour prendre des mesures contre l’opération BADBOX et protéger les consommateurs contre la fraude. Les appareils infectés sont des appareils Android Open Source Project, et non des appareils Android TV OS ou des appareils Android certifiés Play Protect », déclare Shailesh Saini, directeur de l’ingénierie et de l’assurance de la sécurité et de la confidentialité Android de Google.
« Si un appareil n’est pas certifié Play Protect, Google n’a pas d’enregistrement des résultats des tests de sécurité et de compatibilité. Les appareils Android certifiés Play Protect subissent des tests approfondis pour garantir la qualité et la sécurité des utilisateurs. Les utilisateurs doivent s’assurer que Google Play Protect, la protection contre les logiciels malveillants d’Android activée par défaut sur les appareils dotés des services Google Play, est activée. »
Si vous possédez l’un des appareils ci-dessus, il est probable que vous ne pourrez pas obtenir un micrologiciel propre pour eux.
Au lieu de cela, ces appareils devraient être remplacés par ceux de marques réputées. S’il est impossible de remplacer l’appareil, ils doivent être déconnectés d’Internet.