Badbox kötü amaçlı yazılım, Google Play’de 24 Uygulama aracılığıyla 50.000’den fazla Android cihaza bulaştı


İnsan’ın Satori tehdit zekası ve araştırma ekibi, daha önce açıklanan Badbox operasyonunun bir evrimi olan “Badbox 2.0” adlı karmaşık bir siber saldırıyı ortaya çıkardı.

Bu sofistike botnet, dünya çapında 1 milyondan fazla tüketici cihazına bulaşmıştır ve önemli bir kısmı Google Play Store’daki 24 kötü amaçlı uygulama ile tehlikeye atılmıştır.

Badbox 2.0 operasyon, BB2Door adlı bir arka kapıya odaklanır ve bu da tehdit aktörlerine enfekte cihazlara kalıcı ayrıcalıklı erişim sağlar.

Badbox Kötü YazılımBadbox Kötü Yazılım
Bir Badbox C2 yanıtı

Arka kapı, düşük maliyetli, markalı Android açık kaynak proje cihazlarında önceden yüklenmiş uygulamalar ve üçüncü taraf pazarlardan indirmeler yoluyla dağıtılır.

Birden fazla tehdit aktör grubu karmaşık şemada işbirliği yapıyor

Araştırmacılar, Badbox 2.0’da yer alan dört farklı tehdit aktör grubunu belirlediler: Salestracker Group, Moyu Group, Lemon Group ve LongTV.

Bu gruplar, BOTNET’in erişimini ve etkinliğini en üst düzeye çıkarmak için altyapı ve hedefleme yöntemlerini paylaşarak işbirliği yaparlar.

Operasyon, aşağıdakiler dahil olmak üzere çeşitli dolandırıcılık planlarına olanak tanır:

  1. Konut Proxy Hizmetleri: Enfekte cihazlar proxy düğümleri olarak kullanılır ve saldırganların gerçek IP adreslerini gizlemesine izin verir.
  2. Programlı reklam sahtekarlığı: Gizli reklamlar cihazlarda oluşturulur ve gizli web görüntülemeleri hileli reklam izlenimleri oluşturmak için HTML5 oyun web sitelerine gidilir.
  3. Dolandırıcılığı tıklayın: Enfekte cihazlar düşük kaliteli alanları ziyaret etmeye ve reklamlara tıklamaya yönlendirilir.
Badbox Kötü YazılımBadbox Kötü Yazılım
Yeni WebView’dan istek

Zirvede, Badbox 2.0 içindeki gizli reklam planı haftada 5 milyar hileli teklif talebi oluşturdu.

Kesinti çabaları ve devam eden tehditler

Rapora göre, insan Badbox 2.0’ı bozmak için Google ve diğer ortaklarla yakın bir şekilde çalıştı.

Google, işlemle ilgili yayıncı hesaplarını sonlandırmak için harekete geçti ve Google Play Protect aracılığıyla kullanıcıları korumak için önlemler uyguladı.

Bununla birlikte, tehdit aktörleri operasyonlarını adapte edebilir ve yeniden başlatabilir, çünkü arka kapıların implantasyonunu sağlayan tedarik zinciri bozulmadan kalır.

Kullanıcılara enfeksiyon riskini azaltmak için uygulama indirmelerini resmi pazarlarla sınırlandırmaları tavsiye edilir.

Badbox 2.0 soruşturması, siber suçlu işbirliklerinin artan karmaşıklığını vurgulamakta ve siber güvenlik endüstrisinde sağlam, kolektif savunma stratejilerine duyulan ihtiyacı vurgulamaktadır.

Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free



Source link