En az dört farklı tehdit aktörünün, büyük bir reklam sahtekarlığının ve Badbox adlı konut vekil şemasının güncellenmiş bir versiyonunda yer aldığı ve birbirine bağlı bir siber suç ekosisteminin resmini çizdiği tespit edilmiştir.
Bu, Google, Trend Micro, Shadowserver ve diğer ortaklarla işbirliği içinde yayınlanan insan Satori tehdit istihbarat ve araştırma ekibinin yeni bulgularına göre Salestracker Group, Moyu Group, Lemon Group ve LongTV’yi de içeriyor.
“Karmaşık ve Geniş Sahtekarlık Operasyonu” Badbox 2.0 olarak adlandırılmıştır. Şimdiye kadar ortaya çıkarılan enfekte olmuş bağlı TV (CTV) cihazlarının en büyük botnet’i olarak tanımlanmıştır.
Şirket, “Badbox 2.0, selefi gibi, tehdit aktörlerinin sahtekarlık modüllerini uzaktan yüklemelerini sağlayan düşük maliyetli tüketici cihazlarında arka planlarla başlıyor.” Dedi. Diyerek şöyle devam etti: “Bu cihazlar, bir dizi farklı ancak işbirlikçi tehdit aktörüne ait ve işletilen komut ve kontrol (C2) sunucuları ile iletişim kuruyor.”
Tehdit aktörlerinin, donanım tedarik zinciri uzlaşmalarından üçüncü taraf pazarlarına kadar çeşitli yöntemlerden yararlandığı bilinmektedir. Görünüşe göre, bu cihazları ve uygulamaları arka kapı ile enfekte etmek için gizli “yükleyici” işlevselliği içeren iyi huylu uygulamalar olarak dağıtmaktadır.
Arka kapı daha sonra, enfekte olmuş cihazların programatik reklam sahtekarlığı için istismar edilen, sahtekarlık tıklatan ve yasadışı konut vekil hizmetleri sunan daha büyük bir botnetin parçası olmasına neden olur –
- Gizli reklamlar ve sahte reklam geliri oluşturmak için gizli webViews başlatma
- Düşük kaliteli alanlarda gezinme ve finansal kazanç için reklamlara tıklama
- Trafiğin tehlikeye atılmış cihazlar aracılığıyla yönlendirilmesi
- Hesap Alma Ağı (ATO), sahte hesap oluşturma, kötü amaçlı yazılım dağıtımı ve DDOS saldırılarını kullanma
Esas olarak ucuz Android tabletler, bağlı TV (CTV) kutuları, dijital projektörler ve otomobil bilgi -eğlence sistemlerinden oluşan bir milyon cihaz, Badbox 2.0 şemasına avlandığı tahmin edilmektedir. Etkilenen tüm cihazlar Çin anakarasında üretilir ve küresel olarak gönderilir. Enfeksiyonların çoğunluğu Brezilya’da (%37.6), ABD (%18.2), Meksika (%6.3) ve Arjantin’de (%5.3) bildirilmiştir.
Enfekte cihazlarla iletişimi kesmek amacıyla, açıklanmayan sayıda Badbox 2.0 alanının düden yapıldıktan sonra o zamandan beri o zamanlar üç ay içinde ikinci kez bozuldu. Google, Play Store’dan kötü amaçlı yazılımları dağıtan 24 uygulama setini kaldırdı. Altyapısının bir kısmı daha önce Aralık 2024’te Alman hükümeti tarafından kaldırılmıştı.
Google, “Enfekte cihazlar Android açık kaynak proje cihazlarıdır, Android TV işletim sistemi cihazları değil veya Play Protect Sertifikalı Android cihazlarıdır.” Dedi. “Bir cihaz Play Protect Sertifikalı değilse, Google’ın güvenlik ve uyumluluk testi sonuçlarının kaydı yoktur. Play Protect Sertifikalı Android cihazları kalite ve kullanıcı güvenliğini sağlamak için kapsamlı testlere tabi tutulur.”
Operasyonun çekirdeğini oluşturan arka kapı, Triada olarak bilinen bir Android kötü amaçlı yazılımlara dayanmaktadır. Kolezi BB2Door, üç farklı şekilde yayılır: Cihazda önceden yüklenmiş bir bileşen, ilk kez önyüklendiğinde uzak bir sunucudan getirilir ve üçüncü taraf mağazalardan popüler uygulamaların 200’den fazla truva atı sürümü aracılığıyla indirilir.
Badbox 2.0 enfekte olmuş cihazlar üzerine inşa edilmiş konut vekil hizmetlerini tanıtan Moyu Group adlı bir tehdit kümesinin el işi olduğu söyleniyor. Diğer üç tehdit grubu, planın diğer yönlerini denetlemekten sorumludur –
- Orijinal Badbox işlemine bağlı olan Salestracker Group ve enfekte cihazları izleyen bir modül
- Badbox’a dayanan Badbox’a dayalı konut proxy hizmetlerine ve Badbox 2.0’ı kullanan bir HTML5 (H5) oyun web sitelerinde bir reklam sahtekarlığı kampanyasına bağlı Lemon Group
- Longtv, iki düzine uygulaması “Evil Twin” olarak bilinen bir yaklaşıma dayanan bir reklam sahtekarlığı kampanyasının arkasında olan bir Malezya internet ve medya şirketi
İnsan, “Bu gruplar ortak altyapı (ortak C2 sunucuları) ve tarihsel ve mevcut iş bağları ile birbirlerine bağlandı.” Dedi.
En son yineleme, önemli bir evrimi ve adaptasyonu temsil eder, saldırılar da üçüncü taraf uygulama mağazalarından enfekte uygulamalara ve kötü amaçlı yazılımın kalıcılık oluşturmak için meşru Android kütüphanelerini değiştirmeyi gerektiren daha sofistike bir versiyonuna dayanır.
İlginç bir şekilde, özellikle markalı Android tabanlı TV kutularını hedeflediği bilinen başka bir kötü amaçlı yazılım olan BB2Door ve VO1D arasında örtüşmeler öneren bazı kanıtlar var.
Şirket, “Özellikle Badbox 2.0 tehdidi, operasyonun açık sezon doğası nedeniyle küçük bir kısımda zorlayıcı değil.” “Arka kapı yerinde olduğunda, enfekte cihazlara bir tehdit oyuncusu geliştirilen herhangi bir siber saldırı gerçekleştirmesi talimatı verilebilir.”
Geliştirme, Google’ın IAS tehdit laboratuvarına göre sonsuz, müdahaleci tam ekran interstisyel video reklamları dağıtmak için sahte Android uygulamalarını kullanan sofistike bir reklam sahtekarlığı şemasına dahil oldukları için 56 milyon indirme kapsayan 180’den fazla Android uygulamasını kaldırmasıyla geliyor.
Ayrıca, şüpheli olmayan kullanıcıları OCTO olarak adlandırılan bir Android bankacılık kötü amaçlı yazılımını indirmek için kandırmak için Deepseek temalı tuzak siteleri kullanan yeni bir kampanyanın keşfini takip ediyor.