BADBOX 2.0 Botnet Infecta 1 Milhão de Dispositivos Android

Pelo menos quatro agentes de ameaças diferentes foram identificados como envolvidos em uma versão atualizada de um esquema massivo de fraude de anúncios e proxy residencial chamado BADBOX, pintando um quadro de um ecossistema de crime cibernético interconectado.

Isso inclui SalesTracker Group, MoYu Group, Lemon Group e LongTV, de acordo com novas descobertas da equipe de pesquisa e inteligência de ameaças HUMAN Satori, publicadas em colaboração com Google, Trend Micro, Shadowserver e outros parceiros.

A “operação de fraude complexa e expansiva” recebeu o codinome BADBOX 2.0. Foi descrito como o maior botnet de dispositivos infectados de TV conectada (CTV) já descobertos.

“O BADBOX 2.0, como seu antecessor, começa com backdoors em dispositivos de consumo de baixo custo que permitem que os agentes de ameaças carreguem módulos de fraude remotamente”, disse a empresa. “Esses dispositivos se comunicam com servidores de comando e controle (C2) pertencentes e operados por uma série de agentes de ameaças distintos, mas cooperativos.”

Os agentes de ameaças são conhecidos por explorar vários métodos, desde comprometimentos da cadeia de suprimentos de hardware até mercados de terceiros, para distribuir o que ostensivamente parecem ser aplicativos benignos que contêm a funcionalidade de “carregador” sub-reptício para infectar esses dispositivos e aplicativos com o backdoor.

O backdoor subsequentemente faz com que os dispositivos infectados se tornem parte de um botnet maior que é abusado para fraude de anúncios programáticos, fraude de cliques e oferece serviços de proxy residencial ilícitos –

• Anúncios ocultos e lançamento de WebViews ocultos para gerar receita de anúncios falsos
• Navegação para domínios de baixa qualidade e clique em anúncios para obter ganhos financeiros
• Roteamento de tráfego por meio de dispositivos comprometidos
• Usar a rede para controle de contas (ATO), criação de contas falsas, distribuição de malware e ataques DDoS

Estima-se que cerca de um milhão de dispositivos, principalmente incluindo tablets Android baratos, caixas de TV conectada (CTV), projetores digitais e sistemas de infoentretenimento automotivo, tenham sido vítimas do esquema BADBOX 2.0. Todos os dispositivos afetados são fabricados na China continental e enviados globalmente. A maioria das infecções foi relatada no Brasil (37,6%), Estados Unidos (18,2%), México (6,3%) e Argentina (5,3%).

Desde então, a operação foi parcialmente interrompida pela segunda vez em três meses, depois que um número não revelado de domínios BADBOX 2.0 foi afundado na tentativa de cortar as comunicações com os dispositivos infectados. O Google, por sua vez, removeu um conjunto de 24 aplicativos da Play Store que distribuíam o malware. Uma parte de sua infraestrutura foi anteriormente derrubada pelo governo alemão em dezembro de 2024.

“Os dispositivos infectados são dispositivos Android Open Source Project, não dispositivos Android TV OS ou dispositivos Android certificados pelo Play Protect”, disse o Google. “Se um dispositivo não for certificado pelo Play Protect, o Google não terá um registro dos resultados dos testes de segurança e compatibilidade. Os dispositivos Android certificados pelo Play Protect passam por testes extensivos para garantir a qualidade e a segurança do usuário.”

O backdoor que forma o núcleo da operação é baseado em um malware Android conhecido como Triada. Com o codinome BB2DOOR, ele é propagado de três maneiras diferentes: um componente pré-instalado no dispositivo, buscado de um servidor remoto quando inicializado pela primeira vez e baixado por meio de mais de 200 versões trojanizadas de aplicativos populares de lojas de terceiros.

Diz-se que é obra de um cluster de ameaças chamado MoYu Group, que anuncia serviços de proxy residencial construídos em dispositivos infectados com BADBOX 2.0. Três outros grupos de ameaças são responsáveis por supervisionar outros aspectos do esquema –

• SalesTracker Group, que está conectado à operação original do BADBOX, bem como a um módulo que monitora dispositivos infectados
• Lemon Group, que está conectado a serviços de proxy residencial baseados em BADBOX e uma campanha de fraude de anúncios em uma rede de sites de jogos HTML5 (H5) usando BADBOX 2.0
• A LongTV, uma empresa de internet e mídia da Malásia cujas duas dúzias de aplicativos estão por trás de uma campanha de fraude publicitária baseada em uma abordagem conhecida como “gêmeo do mal““

“Esses grupos estavam conectados uns aos outros por meio de infraestrutura compartilhada (servidores C2 comuns) e laços comerciais históricos e atuais”, disse a HUMAN.

A iteração mais recente representa uma evolução e adaptação significativas, com os ataques também contando com aplicativos infectados de lojas de aplicativos de terceiros e uma versão mais sofisticada do malware que envolve a modificação de bibliotecas legítimas do Android para configurar a persistência.

Curiosamente, há algumas evidências que sugerem sobreposições entre o BB2DOOR e o Vo1d, outro malware conhecido por visar especificamente caixas de TV baseadas em Android fora da marca.

“A ameaça BADBOX 2.0 em particular é atraente em grande parte devido à natureza de temporada aberta da operação”, acrescentou a empresa. “Com o backdoor instalado, os dispositivos infectados podem ser instruídos a realizar qualquer ataque cibernético desenvolvido por um agente de ameaça.”

O desenvolvimento ocorre quando o Google removeu mais de 180 aplicativos Android, abrangendo 56 milhões de downloads, por seu envolvimento em um sofisticado esquema de fraude de anúncios apelidado de Vapor, que aproveita aplicativos Android falsos para implantar anúncios em vídeo intersticiais intersticiais em tela cheia intertensivos e intrusivos, de acordo com o IAS Threat Lab.

Também segue a descoberta de uma nova campanha que emprega sites de isca com o tema DeepSeek para induzir usuários desavisados a baixar um malware bancário para Android conhecido como Octo.