FBI, Android işletim sisteminin açık kaynaklı sürümünü çalıştıran milyonlarca internetin internet (IoT) cihazının Badbox 2.0 Botnet’in bir parçası olduğunu söyledi.
Siber suçlular, reklam sahtekarlığı yapmak ve dolandırıcılığı tıklamak için botnet kullanıyor. Meydan okulu cihazlara erişim ve kullanımı, kötü amaçlı yazılım dağıtımını, DDOS saldırılarını, hesap devralma saldırılarını, sahte hesap oluşturma vb.
İnsan güvenliği tehdidi zekası ve araştırma ekibi, Botnet ve Cripple’a yönelik çabalarını ortaya koyduklarında, “Özellikle Badbox 2.0 tehdidi, operasyonun açık sezon doğası nedeniyle hiçbir şekilde zorlayıcı değildir. Arka kapı yerinde, enfekte cihazlara bir tehdit aktörünün geliştirdiği herhangi bir siber saldırı gerçekleştirmesi talimatı verilebilir” dedi.
Badbox: “Prequel”
İnsan güvenliği araştırmacıları 2023’te ilk Badbox Botnet’in varlığını açıkladı.
Esas olarak markalı Android dışı açık kaynaklı proje ile çalışan bağlı TV (CTV) kutuları, akıllı telefonlar ve tabletlerden oluşuyordu, bu da paketlenmeden ve gönderilmeden önce Triada modüler arka kapı ile donatılmıştır.
Önceden yüklenmiş arka kapıdan ayrı olarak, araştırmacılar ayrıca Badbox operasyonuna bağlı Peachpit reklam sahtekarlığı modülü ile donatılmış birçok Android, iOS ve CTV uygulamalarını keşfettiler.
İnsan, Google ve Apple tarafından yıkıcı eylemler gerçekleştirildi, ancak birincisi, Triada/Badbox arka kapının kaldırılamayacağı için Botnet’in tekrar yükseleceğini kaydetti, çünkü cihazların ürün yazılımının yazılmayan bir bölümüne gömüldü.
2024’ün sonlarında, Almanya’nın Bilgi Güvenliği Federal Ofisi (BSI), Badbox donanımlı cihazlar ile Botnet’in Komut ve Kontrol (C2) sunucusu arasındaki iletişimi kesintiye uğratarak Botnet’i geçici olarak bozdu, ancak etki açık bir şekilde uzun ömürlü değildi.
Mart 2025’te insan güvenliği, Google, Trend Micro, Shadowserver ve diğer ortaklar Badbox 2.0 operasyonlarını kısmen bozdu, ancak yine Badbox ve Badbox 2.0’ın arkasındaki tehdit aktörlerinin tekrar adapte olacağı ve operasyonlarını yeniden başlatacakları konusunda uyardı – ve haklılar.
Şirket, “İnsan ve ortakların önderliğindeki bozulma çabaları, bu tehdit aktörlerinin arka kapıyı tüketici ellerine yönelik cihazlara yerleştirmesini sağlayan tedarik zincirini sökemez” dedi.
Cihazınız Badbox 2.0’ın bir parçası mı?
Badbox 2.0 işlemine bağlı cihazlar arasında ucuz, marka dışı, sertifikalandırılmamış tabletler, TV akış cihazları, dijital projektörler, satış sonrası araç bilgi-eğlence sistemleri, dijital resim çerçeveleri ve diğer ürünler bulunur.
Cihazlar Çin anakarasında üretilmektedir ve küresel olarak gönderilmektedir.
İnsan güvenliği, üçte birinden fazlası düşük maliyetli Android açık kaynak proje cihazlarının özellikle popüler olduğu Brezilya’da bulunuyor. “Önemli sayıları olan diğer ülkeler arasında ABD, Meksika, Arjantin ve Kolombiya bulunmaktadır.”
Enfekte cihazlar arasında aşağıdaki cihaz modelleri vardır:
Badbox ile enfekte cihaz modelleri (Kaynak: İnsan Güvenliği)
Arka kapı dışında, bazı cihazlar resmi olmayan uygulama pazarlarından görünüşte meşru ancak kötü amaçlı uygulamalar indirir (örneğin, “Ekstra Gelir Kazanın”, “Hamilelik Yumurtlama Hesaplayıcısı”). Aynı isimlerle aynı uygulamaların “İkizleri” de Google’ın resmi Play App Store’da bulundu, ancak reklam sahtekarlık modüllerini içermediler.
FBI, kullanıcılara şu olursa olsun cihazlarının enfekte olma olasılığını dikkate almaları gerektiğini söyledi:
- Şüpheli uygulama pazarları veya uygulamaları yüklü
- Kullanıcılardan Google Play Protect’i devre dışı bırakmalarını istediler veya Play Protect Sertifikalı değil
- Kilidi açılmış veya ücretsiz içeriğe erişebilen jenerik TV akışı cihazlarıdır.
- Tanınmayan markalar altında satıldı
- Kullanıcılar açıklanamayan veya şüpheli internet trafiğini tespit ettiler.
FBI, “Halkın evlerindeki IoT cihazlarını herhangi bir uzlaşma göstergesi için değerlendirmesi ve şüpheli cihazların ağlarından bağlantıyı kesmeyi düşünmesi isteniyor” dedi.
Ayrıca kullanıcıları şüpheli etkinlikler için ev ağlarına bağlı tüm IoT cihazlarını değerlendirmeye, resmi olmayan pazarlardan uygulamalar indirmekten ve IoT cihazlarını düzenli olarak güncellemeye çağırdı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!