BADBOX 僵尸网络又回来了,而且比以往任何时候都更加危险。这一网络犯罪活动原本被认为已经被瓦解,但现在不仅死灰复燃,而且规模不断扩大,已入侵全球超过 192,000 台基于 Android 的设备。Bitsight 安全研究公司的最新报告揭示了该僵尸网络死灰复燃、日益复杂的惊人细节。
BADBOX 是一种大规模恶意软件行动,直接在供应链层面入侵安卓设备,包括电视盒、智能手机和现在的高端智能电视。这意味着设备在到达消费者手中之前就已经感染了恶意软件,通常是通过被篡改的固件或预装的应用程序。
正如 Bitsight 所解释的那样,“这些设备成为复杂犯罪计划的受害者,它们要么在供应链中被篡改,要么被制造商出售,并在未经用户同意的情况下安装 APK。”
僵尸网络在最高峰时估计有 74,000 台设备,现在全球受感染的设备已超过 192,000 台,遥测数据显示这一数字还在稳步增长。与以往主要针对低成本、非品牌设备的活动不同,BADBOX 已将其覆盖范围扩大到 Yandex 4K QLED 智能电视和海信 Instawall T963 智能手机等高端设备。受感染设备最集中的国家是俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰,美国和法国等国家也有残余活动。
BADBOX 恶意软件利用其在设备固件中的存在执行恶意活动,包括:
住宅代理: 将被入侵的设备用作代理端点。
远程代码安装: 允许威胁行为者在未经用户同意的情况下部署新的恶意软件模块。
广告欺诈和账户滥用: 利用受感染设备进行欺诈活动。
恶意软件启动后会立即连接到命令与控制(C2)服务器,从而下载并执行新的有效载荷。Bitsight 的报告强调:“威胁行为者可以构建、下载和执行全新的有效载荷,以实施我们目前无法看到的新计划。”
BADBOX 感染凸显了与供应链受损相关的风险。Bitsight 指出,感染方法包括制造商的故意修改和开发或运输阶段的篡改。这些做法使检测对消费者和企业都极具挑战性。
该报告发现了Yandex 4K QLED智能电视与BADBOX C2域(coslogdydy[.]in)之间的通信。研究人员写道:“这是第一次看到大品牌智能电视与 BADBOX 命令和控制(C2)域进行如此大规模的直接通信。一天之内就检测到了来自 Yandex 设备的 10 万多个独立 IP。”
虽然德国等一些国家在瓦解僵尸网络方面取得了长足进步,最近已影响到 3 万台设备,但 BADBOX 在全球的传播仍是一项重大挑战。Bitsight 的研究人员在短短 24 小时内就在一个 BADBOX 域名上发现了漏洞,捕获了超过 16 万个独特的 IP 地址,凸显了该僵尸网络的庞大规模。
Bitsight 警告说:“您的数据不仅面临风险,还可能被用于牟利和掩护恶意操作。”
文章原文链接:https://www.anquanke.com/post/id/302834