Badbox Android kötü amaçlı yazılım Botnet, Almanya'daki operasyonu bozmaya çalışan yakın tarihli bir düden operasyonuna rağmen dünya çapında 192.000'den fazla enfekte cihaza ulaştı.
Bitsight'tan araştırmacılar, kötü amaçlı yazılımın hedefleme kapsamını isimsiz Çin Android cihazlarının ötesine genişlettiği görülüyor ve şimdi Yandex TV'ler ve Hisense akıllı telefonlar gibi daha iyi bilinen ve güvenilir markaları enfekte ediyor.
Badbox, 'Triada' kötü amaçlı yazılım ailesine dayandığı düşünülen bir Android kötü amaçlı yazılımdır, belirsiz üreticiler tarafından bellenimlerine, gölgeli çalışanlara tedarik zinciri saldırıları yoluyla veya ürün dağıtım aşamasına girerken gerçekleşen enjeksiyonlar yoluyla yapılan enfekte edici cihazlardır.
İlk olarak 2023'ün başlarında Kanada güvenlik danışmanı Daniel Milisic tarafından Amazon'dan satın alınan bir T95 Android TV kutusunda keşfedildi. O zamandan beri, kötü amaçlı yazılım operasyonu çevrimiçi satılan diğer isimsiz ürünlere genişledi.
Badbox kampanyasının amacı, cihazı bir konut vekiline dönüştürerek veya reklam sahtekarlığı yapmak için kullanılarak elde edilen finansal kazançtır. Bu konut vekilleri daha sonra, cihazınızı saldırılar veya diğer hileli faaliyetler yapmak için bir vekil olarak kullanan diğer kullanıcılara, birçok durumda siber suçlulara kiralanabilir.
Ayrıca, Badbox kötü amaçlı yazılım, Android cihazlara ek kötü amaçlı yükler yüklemek için daha tehlikeli işlemler sağlayarak kullanılabilir.
Geçen hafta, Almanya'nın Federal Bilgi Güvenliği Ofisi (BSI), kötü amaçlı yazılımların komuta ve kontrol sunucularından birini düden yaptıktan ve 30.000 Android cihaz için iletişimi kestikten sonra ülkedeki Badbox kötü amaçlı yazılım operasyonunu bozduklarını açıkladı.
Bu cihazlar öncelikle Android tabanlı dijital resim çerçeveleri ve medya akışı kutularıydı, ancak BSI, Badbox'ın daha fazla ürün kategorisinde bulunması muhtemel olduğu konusunda uyardı.
Bitsight'ın yeni raporu, Almanya'nın polis eylemine rağmen Badbox operasyonunun büyümeye devam ettiğini ve araştırmacıların 192.000 TV ve akıllı telefonda kurulu Android kötü amaçlı yazılımları bulduğunu doğruladı.
Bitsight araştırmacısı Pedro Falé'ye göre, siber güvenlik şirketi Badbox kötü amaçlı yazılım işlemi tarafından kullanılan komut ve kontrol sunucularından birini düden edebildi.
Araştırmacılar şimdi etki alanını kontrol ederken, cihazların ne zaman bağlanmaya çalıştığını görebilirler ve kaç benzersiz IP adresinin etkilendiğini görmelerini sağlar.
Falé, "Gerçek şu ki, Badbox hala çok canlı ve yayılıyor gibi görünüyor."
Diyerek şöyle devam etti: "Bitsight, 24 saatlik bir dönemde 160.000'den fazla benzersiz IP'yi kaydettirerek Badbox alan adını düden etmeyi başardığında açıktı. Sürekli büyüyen bir sayı."
Tespit edilen cihaz sayısı, daha önce bu botnet için zirve olarak kabul edilenden çok daha yüksektir, yaklaşık 74.000 uzlaştırılmış cihazda.
Enfekte cihazların yaklaşık 160.000'i Rusya'da çok popüler olan Yandex 4K QLED SMART TV ve Hisense T963 akıllı telefon.
Bitsight, "YNDX-00091'den YNDX-000102'ye kadar değişen [etkilenen] modeller, ucuz Android TV kutuları değil, tanınmış bir markanın 4K akıllı TV'leridir."
"İlk kez büyük bir marka akıllı TV, bu ciltte doğrudan bir Badbox komutu ve kontrolü (C2) alanı ile iletişim kurarak, etkilenen cihazların kapsamını Android TV kutularının, tabletlerin ve akıllı telefonların ötesinde genişletiyor."
Bitsight tarafından tespit edilen cihazlar öncelikle Rusya, Çin, Hindistan, Belarus, Brezilya ve Ukrayna'da bulunmaktadır.
Bitsight ayrıca BSI'nin son işleminin telemetri verilerini etkilemediğini, çünkü eylem coğrafi olarak sınırlı olduğu ve Badbox Android kötü amaçlı yazılım işleminin hız kesmeden devam etmesine izin verdiğini bildirdi.
Badbox daha büyük markalara genişlerken, tüketicilerin en son ürün yazılımı güvenlik güncellemelerini uygulamaları, akıllı cihazlarını daha kritik sistemlerden izole etmeleri ve kullanılmadığı zaman internetten çıkarmaları çok önemlidir.
Ancak, cihazınız için güvenlik veya ürün yazılımı güncellemesi mevcut değilse, bunları ağınızdan ayırmanız veya bunları tamamen kapatmanız şiddetle tavsiye edilir.
Bir Badbox Botnet enfeksiyonu belirtileri arasında yüksek işlemci kullanımından aşırı ısınma ve performans düşüşleri, atipik ağ trafiği ve cihaz ayarlarındaki değişiklikler bulunur.
Bir Google sözcüsü BleepingComputer'a yukarıdaki hikaye hakkında aşağıdaki yorumu gönderdi:
"Enfekte olduğu keşfedilen bu marka dışı cihazlar Play Protect Sertifikalı Android cihazları değildi. Bir cihaz Play Protect Sertifikalı Değilse, Google'ın güvenlik ve uyumluluk testi sonuçlarının kaydı yok. Play Protect Sertifikalı Android Cihazları kapsamlı testlerden geçiyor Bir cihazın Android TV işletim sistemi ile oluşturulup oluşturulmadığını onaylamanıza yardımcı olmak için, Android TV web sitemiz de en güncel ortaklar listesini sunabilirsiniz. Cihazınızın Play Protect Sertifikalı olup olmadığını kontrol edin. " - Bir Google Sözcüsü
Almanya, 30.000 Android cihazına yüklenen Badbox kötü amaçlı yazılımları engelliyor
Juniper, Mirai Botnet Scanning için Smart Routers için Uyarıyor
Amazon Appstore'da Health uygulaması olarak gizlenmiş Android kötü amaçlı yazılım
Qualcomm sıfır gün hatalarına bağlı yeni Android novispy casus yazılım
Rus FSB tarafından ele geçirilen telefonda yeni android casus yazılım
Kaynak: Bleeping Computer