La Oficina Federal de Seguridad de la Información (BSI) de Alemania ha anunciado que ha interrumpido una operación de malware llamamiento BADBOX que venía precargada en al menos 30.000 dispositivos conectados a Internet vendidos en todo el país.
En una enunciación publicada a principios de esta semana, las autoridades dijeron que cortaron las comunicaciones entre los dispositivos y sus servidores de comando y control (C2) al asediar los dominios en cuestión. Los dispositivos afectados incluyen marcos de fotos digitales, reproductores multimedia y transmisores, y probablemente teléfonos y tabletas.
«Lo que todos estos dispositivos tienen en popular es que tienen versiones de Android obsoletas y se entregaron con malware preinstalado», dijo la BSI en un comunicado de prensa.
BADBOX fue documentado por primera vez por el equipo de investigación e inteligencia de amenazas Satori de HUMAN en octubre de 2023, y lo describió como un «esquema engorroso de actor de amenazas» que implica la implementación del malware Triada para Android en dispositivos Android de bajo costo y sin marca mediante la explotación de eslabones débiles de la prisión de suministro.
Una vez conectado a Internet, el malware integrado en los dispositivos puede compendiar una amplia gradación de datos, como códigos de autenticación, e instalar malware adicional.
La operación, que se estima opera desde China, además comprende una botnet de fraude publicitario llamamiento PEACHPIT que está diseñada para falsificar aplicaciones populares de Android e iOS y su propio tráfico fraudulento desde los dispositivos infectados con BADBOX a través de las aplicaciones. Luego, las impresiones falsas se venden mediante publicidad programática.
«Este ciclo completo de fraude publicitario significa que estaban ganando capital con impresiones de anuncios falsos en sus propias aplicaciones fraudulentas y falsificadas», dijo HUMAN en ese momento. «Cualquiera puede comprar accidentalmente un dispositivo BADBOX en orientación sin asimilar que es ficticio, enchufarlo y, sin saberlo, inaugurar este malware de puerta trasera».
La BSI dijo que los dispositivos comprometidos por BADBOX además son capaces de interpretar como un servicio de proxy residencial, lo que permite a otros actores de amenazas enrutar su tráfico de Internet a través de ellos y al mismo tiempo evitar la detección. Además podrían estilarse para crear cuentas en orientación en Gmail y WhatsApp.
Por otra parte de ordenar a todos los proveedores de Internet del país con más de 100.000 suscriptores que redirijan el tráfico al sumidero, la agencia insta a los consumidores a desconectar de Internet los dispositivos afectados con meta inmediato.