BADBOX, TV kutuları ve akıllı telefonlar gibi Android cihazlara satıştan önce kötü amaçlı yazılım bulaştıran, genellikle saygın perakendeciler aracılığıyla satılan ve önceden yüklenmiş kötü amaçlı yazılımları nedeniyle kullanıcılar için önemli bir tehdit oluşturan ve algılamayı zorlaştıran bir siber suç operasyonudur.
Daha önce ortadan kaldırıldığı düşünülen virüs, önemli ölçüde genişletilmiş bir erişim alanıyla yeniden ortaya çıktı ve başta Rusya, Çin, Hindistan, Beyaz Rusya, Brezilya ve Ukrayna’daki kullanıcıları hedef alarak, çeşitli üreticilerin akıllı TV’leri ve akıllı telefonları da dahil olmak üzere 192.000’den fazla Android cihazına bulaştı.
Muhtemelen Triada’dan türetilen gizli Android TV kötü amaçlı yazılımı, satıştan önce cihazların güvenliğini ihlal ederek saldırganlara uzaktan erişim sağlıyor. Bu, Nisan 2023’te keşfedildi ve PEACHPIT botnet’ine bağlandı.
Proxy kullanımı, uzaktan kod yürütme ve reklam sahtekarlığı gibi zararlı faaliyetler için güvenliği ihlal edilmiş cihazlardan yararlanır; bu da ek kötü amaçlı modülleri sessizce yükleyerek tehdit aktörlerinin yeni saldırılar başlatmasına olanak tanır.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Kötü amaçlı yazılım tarafından tehlikeye atılan cihaz, önyükleme sırasında arka kapıları almak ve yürütmek için otomatik olarak zararlı bir ağa bağlanıyor; bu da daha sonra kullanıcının izni olmadan ek kötü amaçlı yükleri indirip yükleyebiliyor ve saldırganların çeşitli tespit edilemeyen ve gelişen saldırılar gerçekleştirmesine olanak tanıyor.
Almanya’da BADBOX bulaşmış 30.000 cihazın kesilmesi gibi son operasyonlar, botnet’in yayılmasını yalnızca geçici olarak yavaşlattı.
Bitsight’ın çökertme çabaları, 100.000’i üst düzey Yandex 4K QLED Akıllı TV’lerden olmak üzere 160.000’den fazla benzersiz IP’yi ortaya çıkardı; bu da botnet’in kalıcı tehdidini ve düşük maliyetli cihazların ötesine genişlediğini gösteriyor.
Kötü amaçlı yazılım, üst düzey Yandex 4K Akıllı TV’lere bulaşarak güvenliklerini tehlikeye atıyor ve olası uzaktan kontrolü mümkün kılıyor; bu da, kötü amaçlı yazılımın hedef aralığının tipik Android cihazların ötesinde önemli bir genişlemeye işaret ediyor.
Yandex Akıllı TV’ler ve T963 akıllı telefonların güvenliği ihlal ediliyor; her gün iletişim kuran ve yakın zamanda kayıtlı bir İsviçre Yandex şubesine bağlı 160.000’den fazla benzersiz IP, açıklanan MAC adresleri ve artan trafik hacminin de gösterdiği gibi kullanıcı verilerini sızdırıyor.
YNDX Akıllı TV’ler trafiğin hakimi konumunda olup çoğunluğu Rusya’dan gelmektedir. Üreticinin web sitesi tarafından onaylanan YNDX TV’lerin sınırlı satış erişimiyle uyumlu olarak diğer bölgelerdeki daha düşük aktiviteyle Hisense telefonları onu takip ediyor; bunlar öncelikle Rusya’yı ve komşu ülkeleri hedefliyor.
Bir araştırma, paylaşılan URI yolları aracılığıyla IP’leri BADBOX C2 alan adlarına bağladı ve SSL parmak izi analiziyle yeni potansiyel C2 alan adlarını belirledi.
İki aktif alan, BADBOX davranışı ve yüksek pDNS istekleri gösterirken, diğerleri (yydsmd.com vb.) farklı bir iletişim formatı (/ota/api/) kullandı ve bu da potansiyel yeni bir BADBOX taktiğini akla getirdi.
Küresel bir tehdit olan BADBOX kötü amaçlı yazılımı, Yandex ve Hisense gibi saygın markaların cihazları da dahil olmak üzere çeşitli Android cihazlara bulaşmak için tedarik zincirlerinden yararlanıyor; bu da siber suçluların artan karmaşıklığını ve veri ihlali risklerini ve olası müdahale risklerini azaltmak için satıcı ve iş ortaklarına duyulan güvenin önemini vurguluyor. kötü niyetli faaliyetler.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin