Google, Android Badbox 2.0 kötü amaçlı yazılım botnet’in anonim operatörlerine karşı dava açtı ve onları şirketin reklam platformlarına karşı küresel bir reklam sahtekarlığı planı yürütmekle suçladı.
Badbox 2.0 kötü amaçlı yazılım botnet, akıllı TV’ler, akış kutuları ve Google Play Protect gibi güvenlik korumaları olmayan diğer bağlı cihazlar dahil olmak üzere enfekte Android Açık Kaynak Projesi (AOSP) cihazlarını kullanan bir siber suç işlemidir.
Bu cihazlar, düşük maliyetli AOSP cihazları satın alan, işletim sistemini Badbox 2 kötü amaçlı yazılımları içerecek şekilde değiştiren ve daha sonra bunları çevrimiçi olarak yeniden satan tehdit aktörleri tarafından veya kullanıcıları kötü amaçlı yazılımları içeren cihazlarına kötü amaçlı uygulamalar indirmeye ve yüklemeye kandırarak enfekte olur.
Kötü amaçlı yazılım daha sonra, saldırganlar tarafından işletilen komut ve kontrol (C2) sunucularına bağlanan ve cihazda yürütme komutları aldığı bir arka kapı haline gelir.
Meydan okuduktan sonra, cihazlar Badbox 2.0 Botnet’in bir parçası haline gelir ve burada kurbanların bilgisi olmadan diğer siber suçlulara satılan konut vekillerine dönüştürülürler veya reklam sahtekarlığı yapmak için kullanılır.
Google’ın davası öncelikle BotNet’in genellikle şirketin reklam platformlarına karşı yürüttüğü reklam sahtekarlığı bileşenine odaklanmaktadır.
Bu reklam sahtekarlığı üç şekilde yapılır:
- Gizli reklam oluşturma: Sahte “Evil Twin” uygulamaları, Google reklamları olan saldırgan kontrollü web sitelerinde arka planda gizli reklamlar yüklemek için enfekte cihazlara sessizce yüklenir ve operasyon için hileli reklam geliri üretir.
- Web tabanlı oyun siteleri: Botlara görünmez web tarayıcılarını başlatmaları ve Google reklam görünümlerini hızla tetikleyen hileli oyunlar oynaması talimatı verilir. Her reklam görünümü, saldırgan kontrollü yayıncı hesapları için gelir ile sonuçlanır.
- Ara Reklam Tıklayın Sahtekar: Botlara, arama için adSense kullanan, alınan arama sonuçlarında gösterilen reklamlardan reklam geliri elde eden saldırgan tarafından işletilen web sitelerinde arama sorguları gerçekleştirmesi talimatı verilir.
Aralık 2024’te, ülkenin enfekte olmuş cihazlar arasındaki iletişimi engelledikten sonra orijinal Badbox Botnet, Datholing DNS sorguları tarafından komuta ve kontrol (C2) altyapısını engelledikten sonra Almanya tarafından bozuldu.
Bununla birlikte, tehdit aktörleri Nisan 2025 itibariyle 10 milyondan fazla Android tabanlı cihaza enfekte ettiğine inanılan Badbox 2.0’ı hızla başlattığından, bu, Cezai İşletmeyi durdurmadı. Google’ın şikayeti, sadece New York Eyaletinde 170.000’den fazla enfekte cihaz olduğunu söylüyor.
Google’ın şikayeti, operasyona bağlı binlerce yayıncı hesabını zaten feshettiğini, ancak botnet’in büyümeye devam ettiği ve artan siber güvenlik riski oluşturduğunu uyarıyor.
Google, “Badbox 2.0 şeması bozulmazsa, çoğalmaya devam edecek.”
Diyerek şöyle devam etti: “Badbox 2.0 Enterprise gelir elde etmeye devam edecek, bu gelirleri erişimini genişletmek için kullanacak, cezai faaliyetini artırmak için yeni cihazlar ve yeni kötü amaçlı yazılımlar üretmek için kullanacak ve Google, işletmenin homodu faaliyetlerini araştırmak ve mücadele etmek için önemli finansal kaynaklar harcamaya devam etmek zorunda kalacak.”
Sanıklar bilinmedikleri ve Çin’de ikamet ettiğine inanıldığından, Google Bilgisayar Sahtekarlığı ve İstismar Yasası ve Rafeteer Etkilenen ve Yolsuzluk Organizasyonları (RICO) Yasası kapsamında rahatlama sürdürüyor.
Şirket, kötü amaçlı yazılım altyapısını ortadan kaldırmak ve kötü amaçlı yazılımların daha fazla yayılmasını önlemek için zararlar ve kalıcı bir tedbir talep etmektedir.
Şikayete dahil olmak üzere, siber suç operasyonu altyapısının bir parçası olan 100’den fazla internet alanının bir listesi bulunmaktadır.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.