cybercrime criminal security

Badbox Android Botnet perturbé par la chasse aux menaces coordonnées

Lucas Morel

Human Security, en collaboration avec Google, ShadowServer et autres, a des opérations C2 à couler affectant 500 000 machines infectées.

Badbox, le notoire Android Malware Botnet, a été perturbé pour la troisième fois en 15 mois, avec plus d’un demi-million de machines infectées maintenant.

Un effort coordonné mené par la plate-forme de détection et d’atténuation des bots, la sécurité humaine, paralysera probablement le fonctionnement de la cybercriminalité soudainement gonflée qui a compromis plus d’un million d’appareils Android dans le monde.

« L’équipe de renseignement et de recherche sur les menaces de l’humanité a récemment découvert et – en collaboration avec Google, Trend Micro, ShadowServer et d’autres partenaires – a partiellement perturbé une opération complexe et expansive de fraude surnommée` `Badbox 2.0  » », ont déclaré des chercheurs humains dans un article de blog.

L’opération BadBox Botnet distribue des logiciels malveillants via une électronique grand public compromise, principalement des boîtes de télévision basées sur Android.

L’opération s’est multiple depuis les bustes antérieurs

Les chercheurs de Satori ont observé l’évolution de l’opération Badbox dans Badbox 2.0, confirmant que la perturbation n’était qu’un revers temporaire pour les acteurs de la menace. Après la première divulgation en 2023, les serveurs C2 alimentant Badbox ont été fermés et les appareils infectés ont été supprimés des principaux marchés.

Cependant, les attaquants se sont rapidement adaptés, faisant des ajustements mineurs pour échapper à la détection, qui a apparemment survécu à un deuxième démontage majeur par les autorités allemandes en décembre 2024.

« Le schéma Badbox 2.0 est plus grand et bien pire que ce que nous avons vu en 2023 en termes de hausse des types d’appareils ciblés, le nombre d’appareils infectés, les différents types de fraude menés et la complexité du programme », a déclaré Gavin Reid, CISO de l’homme, dans un communiqué de presse. «Cette opération incarne la nature interconnectée des cyberattaques modernes et comment les acteurs de la menace ciblent le parcours client et démontre pourquoi les entreprises ont besoin d’une protection à spectre complet contre les impacts de la fraude et des abus numériques.»

L’enquête a révélé des tactiques trompeuses utilisées par les attaquants, y compris une fausse version de Saletracker, un module conçu à l’origine pour la surveillance des ventes par un fabricant de dispositifs chinois. Les attaquants ont déguisé leur porte arrière basée sur Triada sous ce faux module, l’utilisant comme couverture pour contrôler les appareils infectés.

De plus, les acteurs de la menace ont créé une série de domaines pour héberger de nouveaux serveurs C2. Au printemps 2024, les chercheurs de Satori ont identifié de nouvelles versions de test de baies arrière liées à ces serveurs C2.

«Satori a identifié plus d’un million d’appareils infectés dans Badbox 2.0, contre 74 000 dans le schéma Badbox d’origine», a ajouté Human.

Badbox 2.0 exploite plusieurs fraudes

Badbox 2.0 infiltre les appareils de consommation à faible coût avec des délais, permettant aux acteurs de menace de déployer à distance les modules de fraude.

Ces appareils se connectent aux serveurs C2 contrôlés par acteur à, sur l’activation, potentiellement effectuer plusieurs attaques, y compris la fraude publicitaire programmatique, la fraude de clic et les serveurs proxy résidentiels – qui facilitent à leur tour des attaques telles que le rachat de compte, la création de comptes, le DDOS, la distribution des logiciels malveillants et le mot de passe-temps unique (OTP).

«Les acteurs de Badbox 2.0 Threat ont également exploité plus de 200 versions ré-compensées et infectées des applications populaires répertoriées sur des marchés tiers et servaient de système de livraison de porte dérobée alternatif», a ajouté des chercheurs. Parmi ceux-ci, l’équipe a identifié 24 applications «maléfiques» avec des applications correspondantes «Twin leurre» sur le Play Store, grâce à laquelle la fraude publicitaire est effectuée.

L’humain a collaboré avec Google pour retirer ces applications de Google Play. « Nous apprécions la collaboration avec Human pour prendre des mesures contre l’opération Badbox et protéger les consommateurs contre la fraude », a déclaré Shailesh Saini, directeur de la sécurité Android et de l’ingénierie et de l’assurance de la vie privée, Google, dans un communiqué de presse. « Les appareils infectés sont des appareils de projet open source Android, pas des appareils Android TV OS ou Play Protect Protect Android Devices Certified Android. »

Les utilisateurs doivent s’assurer que Google Play Protect, la protection des logiciels malveillants d’Android qui est activé par défaut sur les appareils avec Google Play Services, est activé, a ajouté Saini. Human Security, en collaboration avec le groupe de sécurité Internet ShadowServer Foundation, plusieurs domaines Badbox 2.0, perturbant la communication entre plus de 500 000 appareils infectés et les serveurs C2 du botnet.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support