BadBox Android kötü amaçlı yazılım botnet’i, Almanya’daki operasyonu kesintiye uğratmaya çalışan yakın tarihli bir çukur operasyonuna rağmen dünya çapında 192.000’den fazla virüslü cihaza ulaştı.
BitSight araştırmacıları, kötü amaçlı yazılımın hedefleme kapsamını isimsiz Çin Android cihazlarının ötesine genişlettiği ve artık Yandex TV’ler ve Hisense akıllı telefonlar gibi daha tanınmış ve güvenilir markalara bulaştığı konusunda uyarıyor.
BadBox kötü amaçlı yazılım botneti
BadBox, ‘Triada’ kötü amaçlı yazılım ailesini temel aldığı düşünülen bir Android kötü amaçlı yazılımıdır; bilinmeyen üreticiler tarafından üretilen cihazlara, yazılımlarına, şüpheli çalışanlara yönelik tedarik zinciri saldırıları yoluyla veya ürün dağıtım aşamasına girerken gerçekleşen enjeksiyonlar yoluyla bulaşır.
İlk olarak 2023’ün başlarında Kanadalı güvenlik danışmanı Daniel Milisic tarafından Amazon’dan satın alınan T95 Android TV kutusunda keşfedildi. O zamandan bu yana, kötü amaçlı yazılım operasyonu çevrimiçi olarak satılan diğer isimsiz ürünlere de yayıldı.
BadBox kampanyasının amacı, cihazı konut proxy’sine dönüştürerek veya reklam sahtekarlığı yapmak için kullanarak elde edilen finansal kazançtır. Bu konut proxy’leri daha sonra, saldırı veya diğer dolandırıcılık faaliyetlerini gerçekleştirmek için cihazınızı proxy olarak kullanan çoğu durumda siber suçlular olmak üzere diğer kullanıcılara kiralanabilir.
Ayrıca BadBox kötü amaçlı yazılımı, Android cihazlara ek kötü amaçlı yükler yüklemek için kullanılabilir ve bu da daha tehlikeli işlemlere olanak tanır.
Kaynak: BitSight
Geçtiğimiz hafta, Almanya Federal Bilgi Güvenliği Dairesi (BSI), kötü amaçlı yazılımın komuta ve kontrol sunucularından birini çökerterek 30.000 Android cihazın iletişimini kesmesinin ardından ülkedeki BadBox kötü amaçlı yazılım operasyonunu kesintiye uğrattıklarını duyurdu.
Bu cihazlar öncelikle Android tabanlı dijital resim çerçeveleri ve medya yayın kutularıydı ancak BSI, BadBox’ın daha fazla ürün kategorisinde mevcut olmasının çok muhtemel olduğu konusunda uyardı.
BadBox büyümeye devam ediyor
BitSight’ın yeni raporu, Almanya’nın polis müdahalesine rağmen BadBox operasyonunun büyümeye devam ettiğini doğruluyor; araştırmacılar, Android kötü amaçlı yazılımının 192.000 TV ve akıllı telefona yüklendiğini tespit etti.
BitSight araştırmacısı Pedro Falé’ye göre siber güvenlik şirketi, BadBox kötü amaçlı yazılım operasyonu tarafından kullanılan komuta ve kontrol sunucularından birini çökertmeyi başardı.
Araştırmacılar artık etki alanını kontrol ettiğinden, cihazların ne zaman ona bağlanmaya çalıştığını görebilirler ve böylece kaç benzersiz IP adresinin etkilendiğini görebilirler.
Falé, “Gerçek şu ki BADBOX hâlâ çok canlı ve yayılıyor gibi görünüyor” diye yazdı.
“Bitsight bir BADBOX alanını çökerterek birden fazla kayıt yapmayı başardığında bu durum açıkça görüldü. 24 saatlik sürede 160.000 benzersiz IP. Sürekli artan bir rakam.”
Tespit edilen cihazların sayısı, daha önce bu botnet için en yüksek seviye olarak kabul edilen yaklaşık 74.000 cihazdan çok daha yüksek.
Virüs bulaşan cihazların yaklaşık 160.000’ini Rusya’da oldukça popüler olan Yandex 4K QLED Smart TV ve Hisense T963 akıllı telefon oluşturuyor.
” [impacted] YNDX-00091 ile YNDX-000102 arasındaki modeller, ucuz Android TV kutuları değil, tanınmış bir markanın 4K Akıllı TV’leridir” diye açıklıyor BitSight.
“İlk kez büyük bir Smart TV markasının BadBox komut ve kontrol (C2) alanıyla bu kadar büyük bir hacimde doğrudan iletişim kurduğu ve etkilenen cihazların kapsamını Android TV kutuları, tabletler ve akıllı telefonların ötesine genişlettiği görülüyor.”
BitSight tarafından tespit edilen cihazlar öncelikle Rusya, Çin, Hindistan, Belarus, Brezilya ve Ukrayna’da bulunmaktadır.
Kaynak: BitSight
BitSight ayrıca BSI’nın son operasyonunun telemetri verilerini etkilemediğini, çünkü eylemin coğrafi olarak sınırlı olduğunu ve BadBox Android kötü amaçlı yazılım operasyonunun hız kesmeden devam etmesine izin verdiğini bildirdi.
BadBox’ın daha büyük markalara yayılmasıyla birlikte tüketicilerin en son cihaz yazılımı güvenlik güncellemelerini uygulaması, akıllı cihazlarını daha kritik sistemlerden izole etmesi ve kullanılmadığı zamanlarda internet bağlantısını kesmesi hayati önem taşıyor.
Ancak cihazınız için herhangi bir güvenlik veya ürün yazılımı güncellemesi mevcut değilse, bunların ağınızla olan bağlantısını kesmeniz veya tamamen kapatmanız önemle tavsiye edilir.
BadBox botnet enfeksiyonunun belirtileri arasında aşırı ısınma ve yüksek işlemci kullanımından kaynaklanan performans düşüşleri, alışılmadık ağ trafiği ve cihaz ayarlarındaki değişiklikler yer alır.