Ssylka

Как ботнет BADBOX 2.0 использует миллион устройств для мошеннических схем?

Операция BADBOX 2.0 представляет собой масштабную мошенническую кампанию, в рамках которой ботнет заражает до одного миллиона устройств Android для проведения рекламного фрода и нелегального использования прокси-сервисов.
Как ботнет BADBOX 2.0 использует миллион устройств для мошеннических схем?
Изображение носит иллюстративный характер

В расследовании участвуют несколько групп злоумышленников. SalesTracker Group, непосредственно связанная с оригинальной операцией BADBOX, осуществляет мониторинг инфицированных устройств. MoYu Group разработала бэкдор BB2DOOR, который лежит в основе жилых прокси-сервисов, а Lemon Group занимается продвижением прокси-услуг и реализации рекламных мошеннических кампаний на HTML5-игровых сайтах. LongTV, малайзийская интернет-компания, использует две десятка собственных приложений, прибегая к методу «зеркального клона» для организации фрод-кампаний. Все группы объединены общей инфраструктурой, включая серверы командования и контроля, а также длительными деловыми взаимоотношениями.

Инфраструктура операции основывается на использовании недорогих потребительских устройств. Бэкдор BB2DOOR, разработанный на базе Android-трояна Triada, внедряется на устройства тремя способами: как предустановленный компонент, загружаемый с удалённого сервера при первом запуске, или посредством троянизированных приложений, представленных более чем в 200 модификациях известных программ. Распространение происходит через компрометацию цепочек поставок и сторонние маркетплейсы.

Заражённые устройства используются для организации программного рекламного фрода и клик-фрода. Скрытые WebView запускаются для генерации поддельных кликов по рекламным объявлениям, а перенаправление трафика на ненадёжные домены приносит финансовую выгоду. Дополнительно ботнет применяется для захвата аккаунтов, массового создания фейковых учетных записей, распространения другого вредоносного ПО и проведения DDoS-атак.

Мошенническая схема эксплуатирует недорогие Android-планшеты, телевизионные приставки CTV, цифровые проекторы и системы автомобильной информационно-развлекательной техники. Все эти устройства производятся в материковом Китае и распространяются по всему миру. Наибольшее количество заражённых устройств зарегистрировано в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).

Часть инфраструктуры операции была нарушена благодаря sinkholing доменов, что прервало связь с серверами C2. Google удалил 24 приложения из Google Play, распространявшие вредоносное ПО, отметив, что заражённые устройства основаны на Android Open Source Project и не проходят обязательную проверку безопасности, присущую сертифицированным устройствам. В декабре 2024 года немецкое правительство также приняло меры по отключению части элементов инфраструктуры.

Современная версия бэкдора BB2DOOR демонстрирует значительные улучшения по сравнению с предыдущей итерацией. Его возможности включают модификацию легитимных Android-библиотек для установления постоянного доступа, что позволяет злоумышленникам использовать заражённые устройства для любых кибератак. Обнаружены элементы, характерные для вредоносного ПО Vo1d, нацеленного на небрендовые Android TV боксы, что свидетельствует о «открытом сезоне» для будущих атак.

Расследованием операции занимаются специалисты из команды HUMAN Satori Threat Intelligence and Research, а также партнёры, такие как Google, Trend Micro, Shadowserver и другие организации, отказавшиеся раскрывать свои имена. Согласованные усилия экспертного сообщества способствовали выявлению схемы и реализации мер по её нейтрализации.

Параллельно с операцией BADBOX 2.0, по данным IAS Threat Lab, Google удалила свыше 180 Android-приложений, суммарно охвативших 56 миллионов скачиваний, связанных с кампанией мошенничества под названием Vapor, использующей фальшивые приложения и навязчивые полноэкранные видеообъявления.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов