Badbox Android kötü amaçlı yazılım botnet, yarım milyon enfekte cihaz için Google Play ve Datholing Communications’tan 24 kötü amaçlı uygulamayı kaldırarak tekrar bozuldu.
Badbox Botnet, öncelikle TV akışı kutuları, tabletler, akıllı TV’ler ve akıllı telefonlar gibi düşük maliyetli Android tabanlı cihazları hedefleyen siber fraud işlemidir.
Bu cihazlar, üreticiden Badbox kötü amaçlı yazılımları ile önceden yüklenir veya kötü amaçlı uygulamalar veya ürün yazılımı indirmeleri ile enfekte olur.
Kötü amaçlı yazılım daha sonra cihazları konut vekillerine dönüştürür, enfekte olmuş cihazlarda sahte reklam izlenimleri oluşturur, kullanıcıları hileli trafik dağıtım operasyonlarının bir parçası olarak düşük kaliteli alanlara yönlendirir ve sahte hesaplar oluşturmak ve kimlik bilgisi doldurma saldırıları yapmak için insanların IP’lerini kullanır.
Geçen Aralık ayında, Alman yetkililer ülkedeki enfekte cihazlar için kötü amaçlı yazılımları bozdu. Ancak, birkaç gün sonra Bitsight, kötü amaçlı yazılımın en az 192.000 cihazda bulunduğunu ve kolluk eylemine karşı dayanıklılık gösterdiğini bildirdi.
O zamandan beri, Botnet’in 222 ülkede Android cihazları etkileyen, çoğu Brezilya’da (%37.6), ABD’de (%18.2), Meksika (%6.3) ve Arjantin (%5.3) ile birlikte 1.000.000’den fazla enfeksiyona büyüdüğü tahmin ediliyor.
Kaynak: İnsan
Yeni Badbox kesintisi
İnsan’ın Satori Tehdit İstihbarat Ekibi, Google, Trend Micro, The Shadowserver Vakfı ve diğer ortaklarla işbirliği içinde en son bozulma operasyonunu yönetti.
Botnet’in ani boyut enflasyonu nedeniyle, insan şimdi operasyonunda yeni bir dönem olduğunu gösteren ‘Badbox 2.0’ diyor.
“Bu şema etkilendi 1 milyondan fazla tüketici cihazı. Badbox 2.0 işlemine bağlı cihazlar arasında düşük fiyat noktası, “OFF Marka”, sertifikalandırılmamış tabletler, bağlı TV (CTV) kutuları, dijital projektörler ve daha fazlasını içeriyor. “
“Enfekte cihazlar Android Açık Kaynak Proje Cihazlarıdır, Android TV OS cihazları değil veya Play Protect Sertifikalı Android cihazları değil. Tüm bu cihazlar anakara Çin’de üretilmiştir ve küresel olarak sevk edilir; gerçekten de, insan gözlemlenen Badbox 2.0 ile ilişkili trafikten Dünya çapında 222 ülke ve bölgede. “
İnsan, Botnet’in hizmet verdiğine dair kanıt bulduğunu ve farklı rolleri veya faydaları olan birden fazla tehdit grubu tarafından desteklendiğini söyledi.
Bu gruplar Salestracker (Altyapı Yönetimi), Moyu (arka kapı ve botnet geliştirme), limon (reklam sahtekarlığı kampanyaları) ve LongTV (kötü amaçlı uygulama geliştirme).
Badbox kötü amaçlı yazılımlarla enfekte olan Android cihazlar, enfekte olmuş cihazda yürütülecek yeni yapılandırma ayarları ve komutlar almak için saldırgan kontrollü komuta ve kontrol sunucularına rutin olarak bağlanacaktır.
İnsan BleepingComputer’a, Shadowserver Foundation ile ortaklaşa, araştırmacıların 500.000’den fazla enfekte cihazın tehdit aktörleri tarafından kurulan komut ve kontrol (C2) sunucusu ile iletişim kurmasını önlemek için yaklaşık bin Badbox 2.0 alanını yatıştırdığını söyledi.
Bir alan düden olduğunda, araştırmacılar tarafından devralınır ve enfekte cihazlar tarafından yapılan tüm bağlantıları o alana izlemelerine ve botnet hakkında veri toplamalarına izin verir. Enfekte cihazlar artık saldırgan kontrollü alanlarla bağlantı kuramadığından, kötü amaçlı yazılımlar hareketsiz bir duruma yerleştirilir ve enfeksiyonu etkili bir şekilde bozar.
İnsan, Badbox kötü amaçlı yazılımlarını Android cihazlara yükleyen resmi uygulama mağazası Google Play’de 24 Android uygulamasını keşfettiğini söylüyor. Seekiny Studio’nun ‘Ekstra Gelir Kazanın’ ve ‘Hamilelik Yumurtlama Hesaplayıcısı’ gibi bazı uygulamaların her biri 50.000’den fazla indirme vardı.
Kaynak: İnsan
Google, uygulamaları Google Play’den kaldırdı ve kullanıcıları uyarmak ve sertifikalı Android cihazlarda Badbox 2.0 ile ilişkili uygulamaların yüklenmesini engellemek için bir Play Protect uygulama kuralı ekledi.
Ayrıca, teknoloji devi, Badbox operasyonu ile ilişkili reklam sahtekarlığına giren yayıncı hesaplarını feshetti ve Google reklamları aracılığıyla para kazanmayı önledi.
Bununla birlikte, Google’ın küresel olarak satılan Play olmayan koruma sertifikalı Android cihazlarını dezenfekte edemeyeceğini belirtmek önemlidir, bu nedenle Badbox 2.0 bozulmuş olsa da, ortadan kaldırılmamıştır.
Nihayetinde, tüketiciler resmi Google Play hizmetleri desteğinden yoksun olan marka dışı TV kutuları gibi AOSP tabanlı Android cihazlar satın aldıkları sürece, kötü amaçlı yazılımlarla önceden yüklenmiş donanımı kullanma riski altındadır.
Badbox kötü amaçlı yazılımlardan etkilendiği bilinen cihazların bir listesi aşağıda listelenmiştir:
| Cihaz modeli | Cihaz modeli | Cihaz modeli | Cihaz modeli |
| TV98 | X96q_max_p | Q96L2 | X96q2 |
| X96mini | S168 | UMS512_1H10_NATV | X96_s400 |
| X96mini_rp | Tx3mini | HY-001 | MX10PRO |
| X96mini_plus1 | Longtv_gn7501e | XTV77 | Netbox_b68 |
| X96q_pr01 | AV-M9 | ADT-3 | Ocbn |
| X96mate_plus | KM1 | X96q_pro | Projector_t6p |
| X96qpro-tm | sp7731e_1h10_native | M8SPROW | TV008 |
| X96mini_5g | Q96Max | Orbsmart_tr43 | Z6 |
| TVBOX | Akıllı | KM9PRO | A15 |
| Aktarmak | KM7 | isinbox | I96 |
| Smart_tv | Fujicom-smarttv | MOX9PRO | Moks |
| X96Q | isinbox | Moks | R11 |
| Oyun kutusu | KM6 | X96max_plus2 | TV007 |
| S9 Stick | SP7731E | H6 | X88 |
| X98k | TXCZ |
Aksamaya yanıt olarak Google, aşağıdaki ifadeyi BleepingComputer ile paylaştı.
Google’ın Android Güvenlik ve Özellik Mühendisliği ve Güvence Direktörü Shailesh Saini, “Badbox operasyonuna karşı harekete geçmek ve tüketicileri sahtekarlıktan korumak için insanla işbirliği yapmayı takdir ediyoruz. Enfekte edilmiş cihazlar Android TV işletim sistemi cihazları değil, Android açık kaynak proje cihazları veya sertifikalı Android cihazları oynatıyor” diyor.
“Bir cihaz Play Protect Sertifikalı değilse, Google’ın güvenlik ve uyumluluk testi sonuçlarının kaydı yoktur. Play Protect Sertifikalı Android cihazları kalite ve kullanıcı güvenliğini sağlamak için kapsamlı testlere tabi tutulur. Kullanıcılar, Google Play Protect, Android’in Google Play Services ile cihazlarda varsayılan olarak kötü amaçlı yazılım korumasını sağlamalıdır.”
Yukarıdaki cihazlardan herhangi birine sahipseniz, muhtemelen onlar için temiz ürün yazılımı alamayacaksınız.
Bunun yerine, bu cihazlar saygın markalardan gelen cihazlarla değiştirilmelidir. Cihazı değiştirmek imkansızsa, internetten kesilmelidir.