Experții în securitate cibernetică au atras atenția asupra răspândirii unui nou botnet, BadBox 2.0, care reprezintă o amenințare din ce în ce mai mare.

Botnetul vizează în principal dispozitive IoT ieftine, care pot fi utilizate pentru o mare varietate de activități ilegale prin intermediul unui botnet, infectând multiple dispozitive din rețeaua locală și obținând și date sensibile. Conform informațiilor actuale, botnetul în cauză este prezent în peste 220 țări în diferite forme, deci a devenit o problemă destul de mare. Dispozitivele infectate includ o gamă largă de produse, de la set-top box-uri ieftine la rame foto digitale necertificate, și proiectoare. Situația este atât de rea încât chiar și FBI s-a simțit că are nevoie să tragă alarma.

BadBox 2.0 în sine nu este fără precedent, deoarece în 2023 s-a observat activitrate în cadrul BadBox, vizând în principal dispozitive Android ieftine care nu erau certificate Google Play Protect, dar atractive pentru consumatorii care căutau produse ieftine. Aceste dispozitive erau adesea infectate din fabrică, ceea ce înseamnă că codul era inclus în firmware de fabrică sau un angajat. Dispozitivele ieftine provin în principal din China, și au ajuns în multe țări, dar o operațiune coordonată a reușit să dezmembreze rețeaua înainte de sfârșitul anului 2024. Operațiunea era executată de diverse firme de securitate cibernetică, companii de tehnologie și agenții internaționale de aplicare a legii, cu o cooperare strânsă între autoritățile germane și Google.

Operatorii rețelei ilicite par să se fi adaptat rapid la noua situație, și au dezvoltat forme de atac și coduri care pot ocoli multe dintre măsurile de securitate aplicate. Acest lucru reprezintă o amenințare foarte gravă la scară globală, și deschide un nou capitol în criminalitatea informatică centrată pe IoT. BadBox 2.0 este mult mai sofisticat decât prima variantă, răspândindu-se nu numai prin infectarea lanțurilor de producție și de aprovizionare, ci capabil să infecteze și dispozitive deja vândute. Infractorii pot accesa aceste dispozitive prin folosirea unor backdoor deschis din fabrică, sau prin instalarea unui app infectat.

Informațiile curente sugerează că există patru grupuri în spatele botnet-ului care lucrează în colaborare strânsă. Membrii echipelor SalesTracker, MoYu, Lemon și LongTV se ocupă de diferite aspecte: fiecare grup și membru este responsabil pentru sarcini diferite, de la distribuirea de programe malware, până la vânzarea datelor furate.

Odată ce dispozitivul vizat a fost accesat, acesta devine imediat parte a botnet-ului, oferindu-le infractorilor cibernetici acces liber la el și pornind procesul de infecție a dispozitivelor din apropiere, oferindu-le operatorilor acces la date sensibile, cum ar fi informații bancare online, diverse informații de acces sau alte date sensibile.

Botnetul în sine poate fi utilizat nu numai pentru a obține date, ci și pentru diverse activități ilegale, cum ar fi atacuri DDoS, distribuirea ulterioară de malware, monitorizarea utilizatorului, impersonare, cumpărături, etc.

Bazele BadBox datează de la un malware android descoperit în 2016, numit Triada. Acesta era un troian care se infiltra suficient de adânc în sistem pentru a face activitățile sale imposibil sau foarte greu de detectat. Versiunea următorea era BadBox, care a fost introdus în firmware, iar mai recent a evoluat în BadBox 2.0, care este o amenințare și mai mare. Acest malware funcționează discret în fundal, dar există semne ale activității sale, cum ar fi apariția unor aplicații neinstalate de utilizator, dispozitive supraîncărcate sau supraîncălzite, sau modificările subite ale setărilor de rețea. Potrivit FBI, dispozitivele cu mărci mai puțin cunoscute și necertificate sunt foarte predispuși la atac, sau conțin acest malware din fabrică, sunt deosebit de periculoase.

În cazul în care se confirmă că un dispozitiv poate fi infectat, este indicat a fi deconectat imediat de la internet și rețeaua locală, iar apoi să se verifice și restul dispozitivelor capabile de rețea. Resetul în stare de fabrică poate funcționa, dar va trebui să aplicați reguli și setări de securitate unice și foarte complicate pentru a contraveni problema în caz că firmware-ul o conține. Actualizarea acestor dispozitive poate fi și ea periculoasă, descărcând variante noi a malware-ului.

Experții recomandă utilizatorilor să cumpere dispozitive care sunt certificate Google Play Protect, și să evite achiziționarea de dispozitive necunoscute și necertificați. Firmware-ul dispozitivelor certificate este recomandat a fi ținut la zi, la fel și aplicațiile, iar traficul în rețeaua locală trebuie monitorizată și aplicate reguli de securitate mai stricte.