Ο κόσμος των χαμηλού κόστους Android συσκευών, όπως TV streaming boxes, tablets, Smart TVs και smartphones, έχει εδώ και καιρό αποτελέσει πεδίο δράσης για απειλές στον κυβερνοχώρο. Μία τέτοια περίπτωση είναι το BadBox, ένα επικίνδυνο malware που έχει ήδη επηρεάσει μεγάλο αριθμό συσκευών σε παγκόσμια κλίμακα. Πρόσφατα, μια συντονισμένη επιχείρηση εταιρειών ασφαλείας κατάφερε να διαταράξει τη λειτουργία αυτού του botnet, αποκλείοντας την επικοινωνία σε περισσότερους από 500.000 μολυσμένους χρήστες.
Τι είναι το BadBox
Το BadBox είναι ένα εξελιγμένο Android malware botnet που στοχεύει κυρίως σε συσκευές χαμηλού κόστους, πολλές από τις οποίες φέρουν λογισμικό AOSP (Android Open Source Project). Αυτές οι συσκευές μπορεί να είναι είτε προ-εγκατεστημένες με κακόβουλο λογισμικό απευθείας από τον κατασκευαστή, είτε να μολύνονται έπειτα από την εγκατάσταση “πειραγμένων” εφαρμογών ή αναβαθμίσεων firmware.
Πώς λειτουργεί το BadBox
Το BadBox μετατρέπει τις συσκευές σε διαδικτυακούς οικιακούς proxies, δημιουργεί ψεύτικες διαφημιστικές εντυπώσεις, ανακατευθύνει τους χρήστες σε ιστοσελίδες χαμηλής ποιότητας και αξιοποιεί τις IP των θυμάτων για τη δημιουργία ψεύτικων λογαριασμών ή την πραγματοποίηση credential stuffing επιθέσεων. Η δράση του είναι κερδοσκοπικού τύπου, επιφέροντας σημαντικές οικονομικές απώλειες σε εταιρείες που επηρεάζονται από παραπλανητικό διαδικτυακό traffic.
Εξάπλωση του Botnet
Το BadBox εμφανίστηκε στο προσκήνιο στα τέλη του 2022, όταν η γερμανική αστυνομία κατάφερε να διακόψει προσωρινά τη λειτουργία του σε μολυσμένες συσκευές στη χώρα. Λίγες ημέρες αργότερα, αναφέρθηκε ότι το κακόβουλο λογισμικό είχε ακόμη τουλάχιστον 192.000 ενεργές μολύνσεις, δείχνοντας πως η εξουδετέρωσή του μόνο τοπικά δεν ήταν αρκετή.
Με την πάροδο του χρόνου, το BadBox “αναβαθμίστηκε” στην έκδοση “BadBox 2.0”, ξεπερνώντας το 1.000.000 μολυσμένων συσκευών σε 222 χώρες. Ανάμεσα στις χώρες με τα υψηλότερα ποσοστά μόλυνσης ήταν η Βραζιλία (37.6%), οι Ηνωμένες Πολιτείες (18.2%), το Μεξικό (6.3%) και η Αργεντινή (5.3%).
Η πρόσφατη επιχείρηση εξουδετέρωσης
Η ομάδα Satori Threat Intelligence της HUMAN, σε συνεργασία με την Google, την Trend Micro, το The Shadowserver Foundation και άλλους ερευνητικούς φορείς, οργάνωσε μια εκτενή επιχείρηση για την αντιμετώπιση του BadBox 2.0. Με την απομάκρυνση 24 κακόβουλων εφαρμογών από το Google Play και τη διαδικασία sinkholing σχεδόν 1.000 domain ονομάτων που χρησιμοποιούνταν για C2 (command and control) επικοινωνία, κατάφεραν να διακόψουν τη δραστηριότητα σε περισσότερες από 500.000 μολυσμένες συσκευές.
Τι είναι το Sinkholing; Το Sinkholing είναι η πρακτική όπου οι ερευνητές παίρνουν τον έλεγχο των domain που χρησιμοποιεί ένα κακόβουλο λογισμικό, ώστε να αποτρέψουν τη σύνδεση των μολυσμένων συσκευών με τους server ελέγχου των επιτιθέμενων. Έτσι, το malware αδρανοποιείται και οι ειδικοί μπορούν να παρακολουθήσουν τις απόπειρες σύνδεσης, συλλέγοντας πολύτιμα στοιχεία.
Παράλληλα, η Google αφαίρεσε τις 24 επιβλαβείς εφαρμογές από το επίσημο κατάστημα και ενεργοποίησε έναν μηχανισμό προστασίας (Play Protect), ώστε οι πιστοποιημένες συσκευές Android να αποτρέπουν την εγκατάσταση αντίστοιχων κακόβουλων εφαρμογών.
Γιατί παραμένει η απειλή;
Η ενέργεια της HUMAN και των συνεργαζόμενων φορέων σίγουρα περιόρισε σημαντικά τη δράση του botnet, αλλά δεν το εξουδετέρωσε πλήρως. Ο βασικός λόγος είναι ότι οι χρήστες εξακολουθούν να προμηθεύονται “off-brand”, μη πιστοποιημένες συσκευές AOSP, οι οποίες μπορεί να κυκλοφορούν προ-μολυσμένες ή να δέχονται τροποποιημένες εκδόσεις firmware χωρίς επαρκή έλεγχο ασφαλείας.
Προστασία των καταναλωτών
Η Google διαμηνύει ότι η καλύτερη άμυνα είναι η επιλογή συσκευών που είναι Play Protect πιστοποιημένες και ενσωματώνουν τεχνολογίες ασφαλείας που μειώνουν την πιθανότητα μόλυνσης. Επιπρόσθετα, συστήνεται η χρήση έγκυρων app stores για την εγκατάσταση εφαρμογών και η αποφυγή ύποπτων APK αρχείων. Για παλαιότερες συσκευές που έχουν ήδη μολυνθεί και δεν επιδέχονται καθαρό firmware, οι ειδικοί προτείνουν αντικατάσταση ή αποσύνδεση από το διαδίκτυο.
Συμπέρασμα
Η πρόσφατη εκστρατεία εξουδετέρωσης του BadBox 2.0 είναι παράδειγμα του πόσο απαραίτητη είναι η συνεργασία μεταξύ εταιρειών, διεθνών οργανισμών και φορέων ασφαλείας για την αντιμετώπιση σύγχρονων απειλών. Ωστόσο, η ευθύνη για την προστασία των προσωπικών μας δεδομένων αλλά και της ακεραιότητας των συσκευών μας βαραίνει και τους καταναλωτές, που καλούνται να είναι περισσότερο προσεκτικοί στην αγορά και χρήση τεχνολογικών προϊόντων.
Πηγές: CyberNews, BleepingComputer
