Alemanha Interrompe Malware BADBOX em 30.000 Dispositivos Usando Ação de Sinkhole

O Escritório Federal de Segurança da Informação da Alemanha (BSI) anunciou que interrompeu uma operação de malware chamada BADBOX, que veio pré-carregada em pelo menos 30.000 dispositivos conectados à internet vendidos em todo o país.

Em comunicado publicado esta semana, as autoridades disseram que interromperam as comunicações entre os dispositivos e seus servidores de comando e controle (C2) afundando os domínios em questão. Os dispositivos impactados incluem molduras digitais, reprodutores de mídia e transmissores, e provavelmente telefones e tablets.

“O que todos esses dispositivos têm em comum é que têm versões desatualizadas do Android e foram entregues com malware pré-instalado”, disse o BSI em comunicado à imprensa.

O BADBOX foi primeiramente documentado pela equipe de Pesquisa e Inteligência de Ameaças da HUMAN em outubro de 2023, descrevendo-o como um “esquema complexo de atores ameaçadores” que envolve a implantação do malware Triada Android em dispositivos Android de baixo custo e desconhecidos, explorando elos fracos na cadeia de fornecimento.

Uma vez conectado à internet, o malware incorporado nos dispositivos pode coletar uma ampla gama de dados, como códigos de autenticação, e instalar malware adicional.

A operação, avaliada como sendo coordenada da China, também compreende um botnet de fraude publicitária chamado PEACHPIT, projetado para falsificar aplicativos populares para Android e iOS e seu próprio tráfego fraudulento dos dispositivos infectados pelo BADBOX por meio dos aplicativos. As impressões falsas são então vendidas por meio de publicidade programática.

“Este ciclo completo de fraude publicitária significa que eles estavam ganhando dinheiro com as falsas impressões de anúncios em seus próprios aplicativos fraudulentos e falsificados”, afirmou a HUMAN na época. “Qualquer pessoa pode comprar acidentalmente um dispositivo BADBOX online sem nunca saber que era falso, conectá-lo e abrir sem saber este malware de backdoor.”

O BSI disse que os dispositivos comprometidos pelo BADBOX também são capazes de atuar como um serviço de proxy residencial, permitindo que outros atores ameaçadores encaminhem seu tráfego da internet por meio deles, ao mesmo tempo em que evitam a detecção. Eles também poderiam ser usados para criar contas online no Gmail e WhatsApp.

Além de instruir todos os provedores de internet do país com mais de 100.000 assinantes a redirecionar o tráfego para o sinkhole, a agência está instando os consumidores a desconectar os dispositivos afetados da internet imediatamente.