Le botnet malveillant BadBox Android est passé à plus de 192 000 appareils infectés dans le monde entier malgré une récente opération de gouffre qui a tenté de perturber l’opération en Allemagne.
Les chercheurs de BitSight avertissent que le malware semble avoir étendu sa portée de ciblage au-delà des appareils Android chinois anonymes, infectant désormais des marques plus connues et de confiance comme les téléviseurs Yandex et les smartphones Hisense.
Le botnet malveillant BadBox
BadBox est un malware Android qui serait basé sur la famille de logiciels malveillants « Triada », infectant les appareils fabriqués par des fabricants obscurs soit par des attaques de la chaîne d’approvisionnement sur leur micrologiciel,des employés louches, soit par des injections ayant lieu lorsqu’ils entrent dans la phase de distribution du produit.
Il a été découvert pour la première fois sur un boîtier Android TV T95 acheté sur Amazon par le consultant canadien en sécurité Daniel Milisic au début de 2023. Depuis lors, l’opération de malware s’est étendue à d’autres produits sans nom vendus en ligne.
L’objectif de la campagne BadBox est un gain financier, qui est obtenu en transformant l’appareil en proxy résidentiel ou en l’utilisant pour effectuer une fraude publicitaire. Ces proxys résidentiels peuvent ensuite être loués à d’autres utilisateurs, dans de nombreux cas des cybercriminels, qui utilisent votre appareil comme proxy pour mener des attaques ou d’autres activités frauduleuses.
De plus, le malware BadBox peut être utilisé pour installer des charges utiles malveillantes supplémentaires sur des appareils Android, permettant des opérations plus dangereuses.
La semaine dernière, l’Office fédéral allemand de la sécurité de l’information (BSI) a annoncé qu’il avait interrompu le fonctionnement du malware BadBox dans le pays après qu’il ait bloqué l’un des serveurs de commande et de contrôle du malware, coupant la communication pour 30 000 appareils Android.
Ces appareils étaient principalement des cadres photo numériques basés sur Android et des boîtiers de streaming multimédia, mais BSI a averti qu’il est très probable que BadBox soit présent dans plus de catégories de produits.
BadBox continue de croître
Le nouveau rapport de BitSight confirme que l’opération BadBox a continué de croître malgré l’action de la police allemande, les chercheurs ayant découvert le malware Android installé sur 192 000 téléviseurs et smartphones.
Selon Pedro Falé, chercheur chez BitSight, la société de cybersécurité a pu percer l’un des serveurs de commande et de contrôle utilisés par l’opération de malware BadBox.
Comme les chercheurs contrôlent désormais le domaine, ils peuvent voir quand les appareils tentent de s’y connecter, ce qui leur permet de voir combien d’adresses IP uniques sont affectées.
« La réalité est que BADBOX semble toujours très vivante et se répand », a écrit Falé.
« Cela était évident lorsque Bitsight a réussi à percer un domaine BADBOX, enregistrant plus de 160 000 adresses IP uniques sur une période de 24 heures. Un nombre qui n’a cessé de croître. »
Le nombre d’appareils détectés est beaucoup plus élevé que ce qui était auparavant considéré comme le pic pour ce botnet, à environ 74 000 appareils compromis.
Environ 160 000 des appareils infectés sont la Smart TV Yandex 4K QLED, très populaire en Russie, et le smartphone Hisense T963.
« Les modèles [concernés] allant de YNDX – 00091 à YNDX-000102 sont des téléviseurs intelligents 4K d’une marque bien connue, et non des boîtiers Android TV bon marché », explique BitSight.
« C’est la première fois qu’une Smart TV de grande marque communique directement à un tel volume avec un domaine de commande et de contrôle BadBox (C2), élargissant la portée des appareils concernés au-delà des boîtiers Android TV, des tablettes et des smartphones. »
Les appareils détectés par BitSight sont principalement situés en Russie, en Chine, en Inde, en Biélorussie, au Brésil et en Ukraine.
BitSight rapporte également que l’opération récente de BSI n’a pas eu d’impact sur ses données de télémétrie, car l’action était géographiquement limitée, permettant à l’opération de malware BadBox Android de se poursuivre sans relâche.
Avec l’expansion de BadBox à plus de grandes marques, il est crucial pour les consommateurs d’appliquer les dernières mises à jour de sécurité du micrologiciel, d’isoler leurs appareils intelligents des systèmes plus critiques et de les déconnecter d’Internet lorsqu’ils ne sont pas utilisés.
Cependant, si aucune mise à jour de sécurité ou de micrologiciel n’est disponible pour votre appareil, il vous est fortement conseillé de les déconnecter de votre réseau ou de les désactiver complètement.
Les signes d’une infection par un botnet Bandbox incluent une surchauffe et des baisses de performances dues à une utilisation élevée du processeur, un trafic réseau typique et des modifications des paramètres de l’appareil.