İnsanın Satori tehdit istihbaratı ve araştırma ekibi, Google, Trend Micro ve Shadowserver ile işbirliği içinde, Badbox 2.0 adlı büyük bir siber sahtekarlık operasyonunu ortaya çıkardı ve kısmen bozdu.
2023 yılında açıklanan orijinal Badbox kötü amaçlı yazılımların gelişmiş bir yinelemesi olan bu işlem, dünya çapında 1 milyondan fazla Android Açık Kaynak Projesi (AOSP) cihazlarına enfekte olmuştur ve şimdiye kadar belgelenen enfekte edilmiş bağlı TV (CTV) cihazlarının en büyük botnet’i olarak işaretlemiştir.
Botnet Ölçeği düşük maliyetli Android cihazları hedefler
Sertifikalı Android TV işletim sistemi cihazlarının aksine, CTV kutularından tabletlere ve dijital projektörlere kadar bu düşük maliyetli, markalı gadget’lar öncelikle Çin’den geliyor ve Brezilya, ABD ve Meksika’da önemli bir etkisi olan 222 ülke ve bölgede kötü amaçlı trafik üretiliyor.
.png
)
Badbox 2.0, tehdit aktörlerine kalıcı ayrıcalıklı erişim vermek için Libanl.So gibi değiştirilmiş Android yerel kütüphanelerden yararlanan BB2Door olarak adlandırılan derin gömülü bir arka kapıdan çalışır.
Komut ve kontrol (C2) sunucuları veya resmi olmayan uygulama pazarları aracılığıyla genellikle önceden yüklenmiş veya indirilen bu arka kapı, bir dizi hileli faaliyet sağlar.
Bunlar arasında gizli reklamlar ve web görüntülemeleri aracılığıyla programlı reklam sahtekarlığı, düşük kaliteli alanlarda sahtekarlık ve hesap devralmaları (ATO), dağıtılmış hizmet reddi (DDO) ve kötü amaçlı yazılım dağıtımı gibi aşağı yönlü saldırıları kolaylaştıran konut vekil hizmetlerinin satışı bulunmaktadır.
Sofistike dolandırıcılık planları
Satori araştırmacıları, operasyonun erişimini ve karmaşıklığını artırarak paylaşılan C2 altyapısı yoluyla birlikte çalışan dört temel tehdit aktör grubu Salestracker, Moyu, Lemon Group ve LongTV’yi belirledi.
Örneğin, Moyu konut proxy hizmetlerini 5 GB başına 13,64 $ ‘dan, enfekte cihazlar aracılığıyla trafiği yönlendirirken, LongTV uygulamaları gizli reklamları meşru uygulamaları taklit eden “Evil Twin” teknikleri aracılığıyla dağıtıyor.
Badbox 2.0’ın teknik karmaşıklığı, uyarlanabilirliği ve dağıtım mekanizmalarında yatmaktadır.
Kötü amaçlı yazılım, kalıcılık modüllerini (P.JAR ve Q.JAR gibi) dağıtmak için kütüphaneleri içindeki şifreli dizeleri şifreledi ve Catmore88 gibi C2 sunucularından sahtekarlık yüklerini getiriyor[.]com.
Bu, saldırganların haftalık olarak 5 milyar hileli teklif talebi üreten reklam sahtekarlık kampanyalarından trend mikro tarafından gözlemlenen veri açığa çıkmasına kadar herhangi bir kötü amaçlı APK veya komut dosyasını zorlamasına olanak tanıyan uzaktan kod yürütülmesini sağlar.
Google, reklam ekosisteminde ilişkili yayıncı hesaplarını sonlandırarak ve Google Play Protect Blocks Badbox ile ilgili uygulamaları sertifikalı cihazlarda engelleyerek yanıt verdi.
Bununla birlikte, sertifikasız AOSP cihazlarındaki tedarik zinciri güvenlik açıkları, tehdit aktörleri, Aralık 2024’te Alman hükümeti detaylı badbox altyapısından sonra görülen bir model olan, düşüş sonrası uyarlamaya devam ettikçe kalıcı bir zorluk olmaya devam ediyor.
Bu çabalara rağmen, Badbox 2.0 ölçeği tüketici cihazı güvenliğinde kritik bir boşluğun altını çizmektedir.
İnsan Savunma Platformu ve Reklam Koruma Çözümleri aktif olarak kullanıcıları koruyor, ancak herhangi bir saldırı yürütebilen arka kapının açık sezon doğası devam eden bir tehdit oluşturuyor.
Satori araştırmacıları, bu işbirlikçi tehdit aktörlerinin potansiyel daha ileri uyarlamalarını uyararak resmi uygulama pazarlarına bağlı kalarak toplu savunma ve tüketici uyanıklığı ihtiyacını vurguluyor.
Uzlaşma Göstergeleri (IOCS)
| Cihaz Modeli Örnekleri | C2 Domains Örnekleri |
|---|---|
| Tv98, x96q_max_p, x96mini | 100ulife.com, ipmoyu.com |
| X96q_pro, km9pro, mbox | ads-goal.com, long.tv |
| Transpeed, smart_tv | Bullet-proxy.com, vividweb.work |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun