W Niemczech ujawniono operację cyberprzestępczą o nazwie BADBOX, która naraziła bezpieczeństwo dziesiątek tysięcy urządzeń podłączonych do internetu. Federalny Urząd Bezpieczeństwa Informacji (BSI) poinformował o skutecznym zakłóceniu działania tego złośliwego oprogramowania, które zostało fabrycznie zainstalowane na co najmniej 30,000 urządzeniach sprzedawanych w całym kraju. Wśród dotkniętych sprzętów znalazły się takie urządzenia, jak cyfrowe ramki na zdjęcia, odtwarzacze multimedialne, streamery oraz prawdopodobnie także telefony i tablety.
Działania podjęte przez niemieckie władze polegały na przerwaniu komunikacji między zainfekowanymi urządzeniami a ich serwerami Command-and-Control (C2), poprzez tzw. sinkholing odpowiedzialnych za akcję domen. W oświadczeniu opublikowanym w tym tygodniu BSI podkreśliło, że wszystkie te urządzenia łączy jedna wspólna cecha – zainstalowane na nich przestarzałe wersje systemu Android, które zawierały wbudowane złośliwe oprogramowanie. To właśnie te luki w zabezpieczeniach były przyczyną wykorzystania ich przez cyberprzestępców.
Operacja BADBOX została po raz pierwszy udokumentowana w październiku 2023 roku przez zespół Satori Threat Intelligence and Research z firmy HUMAN. Eksperci opisali ją jako wyrafinowany mechanizm cyberprzestępczy, w którym wykorzystano trojana Triada, dostarczanego poprzez luki w łańcuchu dostaw tanich, niespełniających standardów urządzeń z Androidem. W momencie podłączenia urządzenia do internetu, zainstalowane na nich oprogramowanie zaczynało działać w sposób agresywny, zbierając różnorodne dane, takie jak kody uwierzytelniające, oraz dodając kolejne elementy malware.
Według ustaleń, cała operacja była prowadzona przez cyberprzestępców działających z terytorium Chin. Co więcej, BADBOX był także częścią większej struktury zwanej PEACHPIT, botnetu przeznaczonego do oszustw reklamowych. Mechanizm działania PEACHPIT polegał m.in. na fałszowaniu aplikacji popularnych zarówno na Androidzie, jak i iOS, a także generowaniu nieprawdziwego ruchu za pomocą urządzeń zainfekowanych BADBOX-em. Fałszywe wyświetlenia były następnie sprzedawane za pomocą narzędzi do automatyzacji reklamy.
Eksperci z HUMAN wskazali, że ten model oszustwa reklamowego był niezwykle dochodowy. „Zarządzający tą operacją zarabiali na fałszywych odsłonach reklam w stworzonej przez siebie sieci aplikacji,” zaznaczono w raporcie. Problem polega jednak na tym, że każdy użytkownik mógł nieświadomie nabyć takie urządzenie przez internet, podłączyć je do sieci i tym samym otworzyć przestępcom furtkę do swojego środowiska cyfrowego – bez świadomości skali zagrożenia.
Federalny Urząd Bezpieczeństwa Informacji poinformował również, że zainfekowane urządzenia były wykorzystywane jako tzw. serwery proxy rezydencyjne. Oznacza to, że cyberprzestępcy mogli przekierowywać przez nie swój ruch internetowy, skutecznie ukrywając swoją aktywność przed wykryciem. Dodatkowo, urządzenia te były zdolne do tworzenia fałszywych kont w popularnych serwisach, takich jak Gmail czy WhatsApp, co jeszcze bardziej rozszerzało możliwości ataków.
W odpowiedzi na zagrożenie BSI nakazało wszystkim niemieckim dostawcom internetu, posiadającym ponad 100,000 abonentów, przekierowanie ruchu związanego z domenami BADBOX do sinkhola. Niemieckie władze apelują również do konsumentów o szybkie odłączanie dotkniętych urządzeń od internetu. Dzięki temu możliwe jest ograniczenie dalszego rozprzestrzeniania się złośliwego oprogramowania oraz ochrona prywatności użytkowników.
To zdarzenie jest przy okazji ważnym przypomnieniem dla konsumentów, aby zachowywali ostrożność przy zakupie urządzeń elektronicznych, zwłaszcza tańszych i produkowanych przez mniej znane marki. Warto zawsze sprawdzić pochodzenie sprzętu oraz upewnić się, że korzysta on z aktualnych wersji oprogramowania. Tylko świadome korzystanie z technologii może zapewnić bezpieczeństwo w stale ewoluującym krajobrazie zagrożeń cyfrowych.