Birden fazla firmadan araştırmacılar, kampanyanın tek bir aktör yerine gevşek bir şekilde bağlı bir sahtekarlık ekosisteminden geldiğini söylüyor. Her grubun Badbox 2.0 arka kapı ve kötü amaçlı yazılım modüllerinin kendi sürümleri vardır ve yazılımı çeşitli şekillerde dağıtır. Bazı durumlarda, kötü amaçlı uygulamalar tehlikeye atılan cihazlara önceden yüklenir, ancak araştırmacıların izlediği birçok örnekte, saldırganlar kullanıcıları bilmeden tehlikeye atılmış uygulamaları yüklemeye kandırıyor.
Araştırmacılar, dolandırıcıların iyi huylu bir uygulama yarattığı bir tekniği vurgulamak için Google’ın oyun mağazasında, ancak kullanıcıları uygulamanın resmi uygulama mağazalarında barındırılmayan ve kötü niyetli olan neredeyse özdeş sürümlerini indirmeleri için kandırıyorlar. Araştırmacılar, bu tür “Evil Twin” uygulamalarının en az 24 kez ortaya çıktığını, saldırganların uygulamalarının Google Play sürümlerinde reklam sahtekarlığı çalıştırmasına ve kötü amaçlı yazılımları imposter uygulamalarına dağıtmasına izin verdiğini söylüyor. İnsan ayrıca, dolandırıcıların popüler, ana akım uygulamaların 200’den fazla uzlaştırılmış, yeniden toplanmış versiyonlarını geri koymanın başka bir yolu olarak dağıttığını buldu.
İnsan Tehdit İstihbarat Başkan Yardımcısı Lindsay Kaye, “Dört farklı dolandırıcılık modülü (iki reklam sahtekarlığı, bir sahte tıklama ve daha sonra konut vekil ağı bir tane) gördük, ancak genişletilebilir” diyor. “Böylece, zamanın devam ettiyse ve daha fazla modül geliştirebildiklerini, belki daha fazla ilişki kurabildiklerini, ek olanlara sahip olma fırsatı olduğunu hayal edebilirsiniz.”
Güvenlik firması Trend Micro’dan araştırmacılar, özellikle etkinliğin arkasındaki aktörlere odaklanan Badbox 2.0 soruşturmasında insanla işbirliği yaptı.
Trend Micro Kıdemli Tehdit Araştırmacısı Fyodor Yarochkin, “Operasyonun ölçeği çok büyük” diyor. Gruplardan herhangi biri için “çevrimiçi bir milyon cihaza kadar kolayca” bulunurken, “Bu, şu anda platformlarına bağlı olan bir dizi cihaz olduğunu da sözlerine ekledi. Muhtemelen yükleri olacak tüm cihazları sayarsanız, muhtemelen birkaç milyonu aşar. ”
Yarochkin, kampanyalara katılan grupların çoğunun Çin gri pazar reklamcılığı ve pazarlama firmalarıyla bir bağlantıya sahip olduğunu ekliyor. On yıldan fazla bir süre önce Yarokkin, Çin’de şirketlerin cihazlara “sessiz” eklentileri kurdukları ve bunları çeşitli hileli etkinlikler için kullandıkları birden fazla yasal dava olduğunu açıklıyor.
Yarockin, “2015 yılının o çağında hayatta kalan şirketler adapte olan şirketlerdi” diyor. Soruşturmalarının şimdi Çin’de Badbox 2’de yer alan bazı gruplarla bağlantılı görünen birden fazla “ticari varlık” belirlediğini belirtiyor. Bağlantılar hem ekonomik hem de teknik bağlantıları içeriyor. “Adreslerini belirledik, ofislerinin bazı resimlerini gördük, LinkedIn’deki bazı çalışanların hesapları var” diyor.
Human, Trend Micro ve Google ayrıca BotNet’i düdenleyerek mümkün olduğunca Badbox 2.0 altyapısını kısırlaştırmak için İnternet Güvenlik Grubu Shadow Server ile işbirliği yaptı, böylece trafiğini ve talimat taleplerini bir boşluğa gönderdi. Ancak araştırmacılar, dolandırıcıların orijinal Badbox şeması hakkında vahiyleri takip ettikten sonra, Badbox 2.0’ı ortaya çıkarmanın etkinliği kalıcı olarak sona erdirmesi olası değildir.
Trend Micro’nun Yarochkin, “Bir tüketici olarak, cihazın gerçek olamayacak kadar ucuzsa, cihazda gizli bazı sürprizler olabileceğine hazır olmalısınız” diyor. “Peynir fare kapalısında olmadığı sürece serbest peynir yoktur.”