La Germania ha recentemente annunciato di aver interrotto un’operazione di malware complessa denominata BADBOX, che infettava oltre 30.000 dispositivi connessi a Internet. L’agenzia di sicurezza informatica federale, la BSI (Bundesamt für Sicherheit in der Informationstechnik), ha utilizzato una tecnica di sicurezza chiamata sinkholing per interrompere le comunicazioni tra i dispositivi infetti e i server di controllo (C2) dei criminali.
Il Malware BADBOX
Il malware BADBOX è stato documentato per la prima volta nel mese di ottobre 2023 dalla squadra di intelligence e ricerca di HUMAN, che lo ha descritto come uno “schema di attacco complesso” che coinvolge la distribuzione del malware Triada su dispositivi Android a basso costo, sfruttando deboli collegamenti nella catena di fornitura.
Il malware Triada è un backdoor modulare per Android che consente agli attaccanti di ottenere privilegi di superutente (SU), di esfiltrare dati sensibili e di mantenere la persistenza sui sistemi infetti. Inoltre, gli attaccanti possono utilizzare Triada per armare i dispositivi compromessi scaricando codice malizioso aggiuntivo.
Dispositivi Infetti
I dispositivi infetti con BADBOX includono fotoframi digitali, lettori di media, dispositivi di streaming e probabili smartphone e tablet. Tutti questi dispositivi hanno in comune l’uso di versioni obsolete di Android e sono stati consegnati con il malware preinstallato.
Operazione di Ad Fraud
L’operazione di ad fraud, denominata PEACHPIT, è stata scoperta come parte dell’attività maliziosa di BADBOX. Questo botnet di ad fraud è stato progettato per falsificare popolari app Android e iOS, generando traffico e impressioni pubblicitarie false. Il traffico fraudolento è stato poi venduto attraverso pubblicità programmatiche, permettendo ai criminali di guadagnare denaro dalle interazioni false sulle app contraffatte.
Utilizzo come Proxies Residenziali
I dispositivi infetti con BADBOX sono stati anche utilizzati come servizi di proxy residenziali, permettendo ad altri attori maliziosi di indirizzare il traffico internet attraverso di loro e di evitare la detezione. Inoltre, i dispositivi sono stati usati per creare account online su Gmail e WhatsApp.
Intervento della BSI
La BSI ha interrotto l’operazione di malware BADBOX utilizzando la tecnica di sinkholing, che ha diretto il traffico malizioso verso server sicuri. L’agenzia ha anche urtato i consumatori a disconnettere i dispositivi infetti e ha istruito i principali fornitori di servizi internet (ISPs) a ricondurre il traffico BADBOX al sinkhole.
Consigli per i Consumatori
Per evitare di essere infettati dal malware BADBOX, i consumatori devono essere cauti quando acquistano dispositivi online. Ecco alcuni consigli:
- Verifica la Sorgente: Assicurati di acquistare dispositivi da fonti affidabili e verificate.
- Aggiorna il Firmware: Assicurati che il firmware del dispositivo sia aggiornato.
- Utilizza Software di Sicurezza: Utilizza software di sicurezza come Bitdefender Mobile Security per Android per proteggere il tuo dispositivo da malware e altre minacce.
- Monitora il Traffico: Monitora il traffico del tuo dispositivo per segnalare eventuali attività sospette.
- Disconnetti i Dispositivi Infetti: Se ricevi un avviso dalle autorità, disconnetti immediatamente il dispositivo infetto.
La BSI ha dimostrato la sua capacità di interrompere operazioni di malware complesse come quella di BADBOX. Tuttavia, la minaccia persiste, soprattutto per i dispositivi con firmware obsoleti. È importante che i consumatori siano consapevoli delle minacce e prendano misure preventive per proteggere i loro dispositivi.
