تم تعطيل Badbox Android Malware Botnet مرة أخرى عن طريق إزالة 24 تطبيقًا ضارًا من Google Play و Sinkholing Communications لمدة نصف مليون جهاز مصاب.
إن Badbox Botnet عبارة عن عملية إلكترونية للدهشة تستهدف الأجهزة القائمة على أندرويد منخفضة التكلفة مثل صناديق بث التلفزيون والأجهزة اللوحية وأجهزة التلفزيون الذكية والهواتف الذكية.
تأتي هذه الأجهزة إما محملة مسبقًا بالبرامج الضارة Badbox من الشركة المصنعة أو مصابة بتطبيقات ضارة أو تنزيلات البرامج الثابتة.
تقوم البرامج الضارة بعد ذلك بتحويل الأجهزة إلى وكلاء سكني ، وينشئ انطباعات مزيفة على الأجهزة المصابة ، ويعيد توجيه المستخدمين إلى المجالات منخفضة الجودة كجزء من عمليات توزيع حركة المرور الاحتيالية ، ويستخدم IPs للأشخاص لإنشاء حسابات مزيفة وأداء هجمات حشو بيانات الاعتماد.
في ديسمبر الماضي ، السلطات الألمانية”https://www.bleepingcomputer.com/news/security/germany-blocks-badbox-malware-loaded-on-30-000-android-devices/” الهدف=”_blank” rel=”nofollow noopener”> عطل البرامج الضارة للأجهزة المصابة في البلاد. ومع ذلك ، بعد أيام قليلة ، ذكرت Bitsight أن البرامج الضارة قد تم العثور عليها على الأقل”https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/” الهدف=”_blank” rel=”nofollow noopener”> 192،000 جهاز، إظهار المرونة ضد إجراء إنفاذ القانون.
منذ ذلك الحين ، تشير التقديرات إلى أن Botnet قد نما إلى أكثر من 1،000،000 عدوى ، مما يؤثر على أجهزة Android في 222 دولة ، مع وجود معظمهم في البرازيل (37.6 ٪) ، والولايات المتحدة (18.2 ٪) ، والمكسيك (6.3 ٪) ، والأرجنتين (5.3 ٪).
المصدر: الإنسان
تعطل Badbox الجديد
قاد فريق Human’s Satori Threat Intelligence أحدث عملية تعطل بالتعاون مع Google و Trend Micro و The Shadowserver Foundation وشركاء آخرين.
نظرًا لتضخم الحجم المفاجئ لـ Botnet ، يطلق عليه Human الآن “Badbox 2.0” ، مما يشير إلى عصر جديد في تشغيله.
“This scheme impacted more than 1 million consumer devices. Devices connected to the BADBOX 2.0 operation included lower-price-point, “قبالة العلامة التجارية”, uncertified tablets, connected TV (CTV) boxes, digital projectors, and more,” يشرح الإنسان.
“The infected devices are Android Open Source Project devices, not Android TV OS devices or تشغيل حماية أجهزة Android المعتمدة. يتم تصنيع كل هذه الأجهزة في الصين البر الرئيسي وشحنها على مستوى العالم ؛ في الواقع ، لوحظ الإنسان المرتبط بـ 2.0 المرتبطة بحركة المرور من222 دولة وأقاليم في جميع أنحاء العالم“
يقول الإنسان إنه وجد دليلًا على أن الروبوتات يخدم ويتم دعمه من قبل مجموعات تهديد متعددة ذات أدوار أو فوائد متميزة.
هذه المجموعات هي ماليسترير (إدارة البنية التحتية) ، مويو (تنمية Backdoor و Botnet) ،”https://www.bleepingcomputer.com/news/security/cybercrime-gang-pre-infects-millions-of-android-devices-with-malware/” الهدف=”_blank” rel=”nofollow noopener”> الليمون (حملات الاحتيال الإعلانية) ، و LongTV (تطوير التطبيقات الخبيثة).
ستتصل أجهزة Android المصابة بالبرامج الضارة Badbox بشكل روتيني بخوادم الأوامر والتحكم التي يسيطر عليها المهاجم لتلقي إعدادات وأوامر تكوين جديدة لتنفيذها على الجهاز المصاب.
أخبر Human BleepingComputer ، بالشراكة مع مؤسسة Shadowserver ، أن الباحثين غرقوا عددًا غير معلوم من مجالات Badbox 2.0 لمنع أكثر من 500000 جهاز مصاب من التواصل مع خوادم القيادة والسيطرة (C2) التي أنشأتها ممثلون التهديدات.
عندما يتم تحطيم المجال ، يتم توليه من قبل الباحثين ، مما يسمح لهم بمراقبة جميع الاتصالات التي تم إجراؤها بواسطة الأجهزة المصابة بهذا المجال وجمع البيانات حول الروبوتات. نظرًا لأن الأجهزة المصابة لم تعد قادرة على التواصل مع المجالات التي يسيطر عليها المهاجم ، يتم وضع البرامج الضارة في حالة نائمة ، مما يعطل العدوى بشكل فعال.
يقول Human إنه اكتشف أيضًا 24 تطبيقًا Android في متجر التطبيقات الرسمي ، Google Play ، الذي قام بتثبيت البرامج الضارة Badbox على أجهزة Android. كان لدى بعض التطبيقات ، مثل “كسب دخل إضافي” و “حاسبة الإباضة الحمل” من قبل Seekiny Studio ، أكثر من 50000 تنزيل لكل منهما.
المصدر: الإنسان
قامت Google بإزالة التطبيقات من Google Play وأضفت قاعدة تنفيذ Play Protect لتحذير المستخدمين وحظر تثبيت التطبيقات المرتبطة بـ Badbox 2.0 على أجهزة Android المعتمدة.
علاوة على ذلك ، قامت شركة Tech Giant بإنهاء حسابات الناشر التي شاركت في عمليات الاحتيال في الإعلانات المرتبطة بتشغيل Badbox ، مما يمنع الدخل من خلال إعلانات Google.
ومع ذلك ، من المهم أن نلاحظ أن Google لا يمكن أن تطهير أجهزة Android المعتمدة من غير المعتمدة من غير المعتمدة على مستوى العالم ، لذلك على الرغم من تعطيل Badbox 2.0 ، إلا أنه لم يتم التخلص منه.
في النهاية ، طالما أن المستهلكين يشترون أجهزة Android المستندة إلى AOSP مثل مربعات التلفزيون خارج العلامة التجارية ، والتي تفتقر إلى دعم خدمات Google Play الرسمي ، فإنهم معرضون لخطر استخدام الأجهزة المسبقة مع البرامج الضارة.
قائمة بالأجهزة المعروفة بأنها تتأثر بالبرامج الضارة Badbox مدرجة أدناه:
| نموذج الجهاز | نموذج الجهاز | نموذج الجهاز | نموذج الجهاز |
| TV98 | X96Q_MAX_P | Q96L2 | X96Q2 |
| x96mini | S168 | UMS512_1H10_NATV | X96_S400 |
| x96mini_rp | tx3mini | HY-001 | MX10PRO |
| x96mini_plus1 | Longtv_gn7501e | XTV77 | Netbox_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| x96mate_plus | KM1 | x96q_pro | projector_t6p |
| X96QPro-TM | SP7731E_1H10_Native | M8SPROW | TV008 |
| x96mini_5g | Q96MAX | orbsmart_tr43 | Z6 |
| TVBOX | ذكي | km9pro | A15 |
| transpeed | KM7 | isinbox | I96 |
| Smart_TV | fujicom-smarttv | MXQ9PRO | Mbox |
| x96q | isinbox | Mbox | R11 |
| GameBox | km6 | x96max_plus2 | TV007 |
| Q9 عصا | SP7731E | H6 | x88 |
| x98k | TXCZ |
استجابةً للاضطراب ، شاركت Google العبارة التالية مع BleepingComputer.
“We appreciate collaborating with HUMAN to take action against the BADBOX operation and protect consumers from fraud. The infected devices are Android Open Source Project devices, not Android TV OS devices or Play Protect certified Android devices,” يقول Shailesh Saini ، مدير Android Security & Privacy Engineering & Assurance.
“If a device isn’t Play Protect certified, Google doesn’t have a record of security and compatibility test results. Play Protect certified Android devices undergo extensive testing to ensure quality and user safety. Users should ensure Google Play Protect, Android’s malware protection that is on by default on devices with Google Play Services, is enabled.”
إذا كنت تمتلك أيًا من الأجهزة المذكورة أعلاه ، فمن المحتمل أنك لن تتمكن من الحصول على برامج ثابتة نظيفة لهم.
بدلاً من ذلك ، يجب استبدال هذه الأجهزة بتلك من العلامات التجارية ذات السمعة الطيبة. إذا كان من المستحيل استبدال الجهاز ، فيجب فصلها عن الإنترنت.