来自 BitSight 的新报告证实,尽管德国警方进行了干扰,BadBox 恶意软件操作依然持续增长,研究人员发现该恶意软件已安装在了全球 192000 台电视和智能手机上。
BitSight 的研究人员警告称,该恶意软件似乎已扩大其攻击范围,不再仅仅针对一些不知名的中国 Android 设备,现在已开始感染更为知名且受信任的品牌,例如 Yandex 电视和 Hisense 智能手机。
BadBox 是一种 Android 恶意软件,据信基于 ‘Triada’ 恶意软件家族,它通过供应链攻击、可疑员工或在产品分销阶段进行注入等方式感染由不知名厂商制造的设备。
该恶意软件首次在 2023 年初由加拿大安全顾问 Daniel Milisic 在 Amazon 上购买的 T95 Android 电视盒中发现。随后,恶意软件操作逐步扩展到其他在线销售的不知名产品。
BadBox 攻击活动的目标是通过将设备转变为住宅代理或利用其进行广告欺诈来获取财务利益。这些住宅代理随后可以出租给其他用户,在许多情况下是网络犯罪分子,他们使用受感染设备作为代理发起攻击或进行其他欺诈活动。
此外,BadBox 恶意软件还可以用来安装其他恶意载荷到 Android 设备上,执行更危险的操作。
恶意软件活动流程
上周,德国联邦信息安全办公室(BSI)宣布,他们通过拦截操作中断了该国的 BadBox 恶意软件活动,成功切断了一个恶意软件的指挥与控制服务器的通信,影响了约 30000 台 Android 设备。
这些受影响的设备主要是 Android 数字相框和媒体流媒体盒,但 BSI 警告称,BadBox 恶意软件可能出现在更多产品类别中。
根据 BitSight 研究员 Pedro Falé 的说法,该公司能够拦截其中一个 BadBox 恶意软件操作所使用的指挥与控制服务器。由于研究人员现在控制了该域名,他们能够监控设备何时尝试连接,进而得知有多少唯一 IP 地址受到影响。
“但现实情况是,BadBox 似乎仍然活跃并扩展,”Falé 写道,“当 BitSight 成功拦截一个 BadBox 域名时,我们在 24 小时内注册了超过 160000 个唯一 IP 地址,这一数字一直在稳步增长。”
这表明,BadBox 僵尸网络的影响比之前预计的要大得多。之前认为这个僵尸网络的设备数量大约为74,000台,但实际情况远远超过了这个数字。
这些被感染的设备包括流行于俄罗斯的 Yandex 4K QLED 智能电视和 Hisense T963 智能手机。
“这些受影响的型号(从 YNDX-00091 到 YNDX-000102)是来自知名品牌的 4K 智能电视,而不是廉价的 Android 电视盒,”BitSight 解释道。
“这是第一次发现大品牌智能电视直接与 BadBox 指挥与控制(C2)域进行如此大量的通信,将受影响的设备范围从 Android 电视盒、平板和智能手机扩展到更多设备。”
BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。
设备与 BadBox 服务器通信的位置
BitSight 还报告称,BSI 最近的行动并未影响其遥测数据,因为此次干扰仅限于特定区域,因此 BadBox Android 恶意软件活动得以持续。
随着 BadBox 扩展到更多大品牌,消费者应确保及时安装最新的固件安全更新,将智能设备与更关键的系统隔离,并在不使用时将其断开网络连接。如果您的设备没有安全更新或固件更新,强烈建议您将其断网或完全关闭。
BadBox 僵尸网络感染的迹象包括设备过热、由于高 CPU 使用率导致的性能下降、异常的网络流量以及设备设置的变化。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容