Огромный ботнет пожирает смарт-телевизоры под Android

Ботнет BadBox попытались ликвидировать немецкие правоохранители, но их действий оказалось недостаточно. Ботнет продолжает расти, заглатывая все больше новых устройств.

Слону дробина

Вредоносная сеть BadBox разрослась до гигантских размеров: к настоящему моменту в нее входят 192 тыс. устройств под управлением Android по всему миру. Большинство находятся в России, Китае, Индии, Украине, Беларуси и Бразилии. Особенной «любовью» у вредоноса в последнее время стали пользоваться смарт-телевизоры «Яндекса» в диапазоне моделей между YNDX-00091 и YNDX-000102.

На прошлой неделе Федеральное управление по информационной безопасности ФРГ объявило, что им удалось нарушить функционирование ботнета на территории страны: эксперты управления смогли перехватить контроль над одним из командных серверов ботнета и отключить от него порядка 30 тыс. устройств под управлением Android.

Но на активности ботнета в целом это не оказало никакого воздействия: ботнет продолжает расти.

Мошенничество по-крупному

Впервые вредонос BadBox был обнаружен канадским экспертом по кибербезопасности Дэниелом Милисиком (Daniel Milisic) в начале 2023 г. – на смарт-телевизоре под управлением ОС Android T95, который эксперт приобрел на Amazon.

Операторы ботнета, судя по всему, были до недавнего времени сфокусированы на продуктах малоизвестных производителей. Это не только смарт-телевизоры, но и цифровые фоторамки и стриминговые устройства. Непосредственно в целевые устройства вредоносы попадали, по-видимому, через атаки на цепочку поставок, хотя нельзя исключать и вариантов с деятельностью подкупленных инсайдеров.

Конечной целью злоумышленников является финансовая выгода: ботнет используется для рекламных накруток, а зараженные им устройства превращаются в прокси-точки. Их операторы ботнета иногда сдают в аренду другим злоумышленникам.

BadBox также может использоваться как загрузчик для других видов вредоносного ПО.

160 тысяч смарт-телевизоров и смартфонов

Исследователи компании BitSight смогли переключить на свои ресурсы еще один из командных серверов ботнета и за 24 часа получили запросы от зараженных устройств более чем со 160 тыс. уникальных IP-адресов. Из данных телеметрии следовало, что общее количество зараженных устройств превышает 192 тыс.

Особенное внимание обращает на себя тот факт, что 160 тыс. зараженных устройств оказались брендированными смарт-телевизорами «Яндекса» (а это далеко не самые дешевые модели) и смартфонами Hisense T963.

Пресс-представители Google заявили изданию Bleeping Computer, что зараженные «небрендовые» устройства не обладают сертификатами безопасности Play Protect, вследствие чего Google не имеет возможности отслеживать безопасность этих систем. Сертифицированные же устройства, по их словам, проходят интенсивную проверку на защищенность. Также пользователям рекомендовано посетить сайт Android TV, на котором представлен актуальный список официальных партнеров, чьи продукты снабжены лейблом Play Protect. «Яндекса» в этом списке нет.

«Обширное тестирование на безопасность, увы, не гарантирует, что устройство не может в принципе быть скомпрометировано в предпродажный период, во время экспонирования в торговых точках или в любой момент после приобретения и подключения к сети», – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ.

Он отмечает, что защищенность конечных устройств в наибольшей степени зависит от действий конечных же пользователей.

«Любые подключаемые к Сети устройства, в том числе смарт-телевизоры, необходимо защищать файерволлом и минимизировать их доступность извне до возможно меньшего количества IP-адресов. И, безусловно, необходимо отслеживать и устанавливать обновления, как только они оказываются доступными», – добавил эксперт.

Признаками заражения является перегрев и снижение производительности устройства: вредоносная программа расходует ресурсы довольно интенсивно.

Источник