Операция BADBOX 2.0 представляет собой масштабную мошенническую кампанию, в рамках которой ботнет заражает до одного миллиона устройств Android для проведения рекламного фрода и нелегального использования прокси-сервисов.
В расследовании участвуют несколько групп злоумышленников. SalesTracker Group, непосредственно связанная с оригинальной операцией BADBOX, осуществляет мониторинг инфицированных устройств. MoYu Group разработала бэкдор BB2DOOR, который лежит в основе жилых прокси-сервисов, а Lemon Group занимается продвижением прокси-услуг и реализации рекламных мошеннических кампаний на HTML5-игровых сайтах. LongTV, малайзийская интернет-компания, использует две десятка собственных приложений, прибегая к методу «зеркального клона» для организации фрод-кампаний. Все группы объединены общей инфраструктурой, включая серверы командования и контроля, а также длительными деловыми взаимоотношениями.
Инфраструктура операции основывается на использовании недорогих потребительских устройств. Бэкдор BB2DOOR, разработанный на базе Android-трояна Triada, внедряется на устройства тремя способами: как предустановленный компонент, загружаемый с удалённого сервера при первом запуске, или посредством троянизированных приложений, представленных более чем в 200 модификациях известных программ. Распространение происходит через компрометацию цепочек поставок и сторонние маркетплейсы.
Заражённые устройства используются для организации программного рекламного фрода и клик-фрода. Скрытые WebView запускаются для генерации поддельных кликов по рекламным объявлениям, а перенаправление трафика на ненадёжные домены приносит финансовую выгоду. Дополнительно ботнет применяется для захвата аккаунтов, массового создания фейковых учетных записей, распространения другого вредоносного ПО и проведения DDoS-атак.
Мошенническая схема эксплуатирует недорогие Android-планшеты, телевизионные приставки CTV, цифровые проекторы и системы автомобильной информационно-развлекательной техники. Все эти устройства производятся в материковом Китае и распространяются по всему миру. Наибольшее количество заражённых устройств зарегистрировано в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
Часть инфраструктуры операции была нарушена благодаря sinkholing доменов, что прервало связь с серверами C2. Google удалил 24 приложения из Google Play, распространявшие вредоносное ПО, отметив, что заражённые устройства основаны на Android Open Source Project и не проходят обязательную проверку безопасности, присущую сертифицированным устройствам. В декабре 2024 года немецкое правительство также приняло меры по отключению части элементов инфраструктуры.
Современная версия бэкдора BB2DOOR демонстрирует значительные улучшения по сравнению с предыдущей итерацией. Его возможности включают модификацию легитимных Android-библиотек для установления постоянного доступа, что позволяет злоумышленникам использовать заражённые устройства для любых кибератак. Обнаружены элементы, характерные для вредоносного ПО Vo1d, нацеленного на небрендовые Android TV боксы, что свидетельствует о «открытом сезоне» для будущих атак.
Расследованием операции занимаются специалисты из команды HUMAN Satori Threat Intelligence and Research, а также партнёры, такие как Google, Trend Micro, Shadowserver и другие организации, отказавшиеся раскрывать свои имена. Согласованные усилия экспертного сообщества способствовали выявлению схемы и реализации мер по её нейтрализации.
Параллельно с операцией BADBOX 2.0, по данным IAS Threat Lab, Google удалила свыше 180 Android-приложений, суммарно охвативших 56 миллионов скачиваний, связанных с кампанией мошенничества под названием Vapor, использующей фальшивые приложения и навязчивые полноэкранные видеообъявления.
Изображение носит иллюстративный характер
В расследовании участвуют несколько групп злоумышленников. SalesTracker Group, непосредственно связанная с оригинальной операцией BADBOX, осуществляет мониторинг инфицированных устройств. MoYu Group разработала бэкдор BB2DOOR, который лежит в основе жилых прокси-сервисов, а Lemon Group занимается продвижением прокси-услуг и реализации рекламных мошеннических кампаний на HTML5-игровых сайтах. LongTV, малайзийская интернет-компания, использует две десятка собственных приложений, прибегая к методу «зеркального клона» для организации фрод-кампаний. Все группы объединены общей инфраструктурой, включая серверы командования и контроля, а также длительными деловыми взаимоотношениями.
Инфраструктура операции основывается на использовании недорогих потребительских устройств. Бэкдор BB2DOOR, разработанный на базе Android-трояна Triada, внедряется на устройства тремя способами: как предустановленный компонент, загружаемый с удалённого сервера при первом запуске, или посредством троянизированных приложений, представленных более чем в 200 модификациях известных программ. Распространение происходит через компрометацию цепочек поставок и сторонние маркетплейсы.
Заражённые устройства используются для организации программного рекламного фрода и клик-фрода. Скрытые WebView запускаются для генерации поддельных кликов по рекламным объявлениям, а перенаправление трафика на ненадёжные домены приносит финансовую выгоду. Дополнительно ботнет применяется для захвата аккаунтов, массового создания фейковых учетных записей, распространения другого вредоносного ПО и проведения DDoS-атак.
Мошенническая схема эксплуатирует недорогие Android-планшеты, телевизионные приставки CTV, цифровые проекторы и системы автомобильной информационно-развлекательной техники. Все эти устройства производятся в материковом Китае и распространяются по всему миру. Наибольшее количество заражённых устройств зарегистрировано в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
Часть инфраструктуры операции была нарушена благодаря sinkholing доменов, что прервало связь с серверами C2. Google удалил 24 приложения из Google Play, распространявшие вредоносное ПО, отметив, что заражённые устройства основаны на Android Open Source Project и не проходят обязательную проверку безопасности, присущую сертифицированным устройствам. В декабре 2024 года немецкое правительство также приняло меры по отключению части элементов инфраструктуры.
Современная версия бэкдора BB2DOOR демонстрирует значительные улучшения по сравнению с предыдущей итерацией. Его возможности включают модификацию легитимных Android-библиотек для установления постоянного доступа, что позволяет злоумышленникам использовать заражённые устройства для любых кибератак. Обнаружены элементы, характерные для вредоносного ПО Vo1d, нацеленного на небрендовые Android TV боксы, что свидетельствует о «открытом сезоне» для будущих атак.
Расследованием операции занимаются специалисты из команды HUMAN Satori Threat Intelligence and Research, а также партнёры, такие как Google, Trend Micro, Shadowserver и другие организации, отказавшиеся раскрывать свои имена. Согласованные усилия экспертного сообщества способствовали выявлению схемы и реализации мер по её нейтрализации.
Параллельно с операцией BADBOX 2.0, по данным IAS Threat Lab, Google удалила свыше 180 Android-приложений, суммарно охвативших 56 миллионов скачиваний, связанных с кампанией мошенничества под названием Vapor, использующей фальшивые приложения и навязчивые полноэкранные видеообъявления.
