Ten minste vier verschillende dreigingsacteurs zijn geïdentificeerd als betrokken bij een bijgewerkte versie van een enorme advertentie -fraude en residentiële proxyschema genaamd Badbox, een foto schilderen van een verbonden cybercriminaliteitecosysteem.
Dit omvat Salestracker Group, Moyu Group, Lemon Group en LongtV, volgens nieuwe bevindingen van het Human Satori Threat Intelligence and Research Team, gepubliceerd in samenwerking met Google, Trend Micro, Shadowerver en andere partners.
De “complexe en uitgebreide fraudeoperatie” is codenaam Badbox 2.0. Het is beschreven als het grootste botnet van geïnfecteerde Connected TV (CTV) -apparaten ooit ontdekt.
“Badbox 2.0 begint, net als zijn voorganger, met backdoors op goedkope consumentenapparaten waarmee dreigingsactoren fraude-modules op afstand kunnen laden,” zei het bedrijf. “Deze apparaten communiceren met command-and-control (C2) -servers die eigendom zijn en beheerd door een reeks verschillende maar coöperatieve dreigingsactoren.”
Het is bekend dat de dreigingsactoren verschillende methoden benutten, variërend van compromissen van hardware-supply chain tot marktplaatsen van derden, om te distribueren welke ogenschijnlijk goedaardige toepassingen lijken te zijn die heimelijke “loader” -functionaliteit bevatten om deze apparaten en toepassingen met de achterdeur te infecteren.
De achterdeur zorgt er vervolgens voor dat de geïnfecteerde apparaten deel uitmaken van een groter botnet dat wordt misbruikt voor programmatische advertentiefraude, klik op fraude en biedt illegale residentiële proxy -diensten –
- Verborgen advertenties en het starten van verborgen WebViews om nep -advertentie -inkomsten te genereren
- Navigatie naar domeinen van lage kwaliteit en klikken op advertenties voor financieel gewin
- Verkeer routeren via gecompromitteerde apparaten
- Het netwerk gebruiken voor Account Takeover (ATO), nepaccreatie, malwaredistributie en DDOS -aanvallen
Maar liefst een miljoen apparaten, voornamelijk bestaande uit goedkope Android -tablets, Connected TV (CTV) -boxen, digitale projectoren en auto -infotainmentsystemen, zijn naar schatting ten prooi gevallen ten opzichte van het Badbox 2.0 -schema. Alle getroffen apparaten worden vervaardigd op het vasteland van China en worden wereldwijd verzonden. Een meerderheid van de infecties is gemeld in Brazilië (37,6%), de Verenigde Staten (18,2%), Mexico (6,3%) en Argentinië (5,3%).
De operatie is sindsdien gedeeltelijk een tweede keer verstoord in drie maanden nadat een niet bekend aantal badbox 2.0 -domeinen in een poging de communicatie met de geïnfecteerde apparaten te verminderen. Google, van zijn deel, verwijderde een set van 24 apps uit de Play Store die de malware heeft gedistribueerd. Een deel van de infrastructuur werd eerder in december 2024 door de Duitse regering verwijderd.
“De geïnfecteerde apparaten zijn Android Open Source Project -apparaten, niet op Android TV OS -apparaten of Play Protect -gecertificeerde Android -apparaten,” zei Google. “Als een apparaat geen Play Protect -gecertificeerd is, heeft Google geen record van beveiligings- en compatibiliteitstestresultaten. Play Protect Certified Android -apparaten ondergaan uitgebreide testen om kwaliteit en gebruikersveiligheid te waarborgen.”
De achterdeur die de kern van de bewerking vormt, is gebaseerd op een Android -malware die bekend staat als triada. Codenaam BB2Door, het wordt op drie verschillende manieren gepropageerd: een vooraf geïnstalleerde component op het apparaat, opgehaald van een externe server wanneer deze voor het eerst is opgestart en gedownload via meer dan 200 getrojaniseerde versies van populaire apps van externe winkels.
Er wordt gezegd dat het het handwerk is van een dreigingscluster genaamd Moyu Group, die adverteert dat residentiële proxy-diensten gebouwd op Badbox 2.0-geïnfecteerde apparaten. Drie andere bedreigingsgroepen zijn verantwoordelijk voor het toezicht op andere aspecten van de regeling –
- Salestracker Group, die is aangesloten op de originele Badbox -bewerking en een module die besmette apparaten bewaakt
- Lemon Group, die is verbonden met residentiële proxy -services op basis van Badbox en een advertentiefraudecampagne in een netwerk van HTML5 (H5) game -websites met Badbox 2.0
- Longtv, een Maleisisch internet- en mediabedrijf wiens twee dozijn apps achter een advertentiefraudecampagne zitten op basis van een benadering die bekend staat als “Evil Twin”
“Deze groepen waren met elkaar verbonden via gedeelde infrastructuur (gemeenschappelijke C2 -servers) en historische en huidige zakelijke banden,” zei Human.
De nieuwste iteratie vormt een belangrijke evolutie en aanpassing, waarbij de aanvallen ook afhankelijk zijn van geïnfecteerde apps van app-winkels van derden en een meer geavanceerde versie van de malware die inhoudt dat het wijzigen van legitieme Android-bibliotheken om persistentie op te zetten.
Interessant is dat er enige aanwijzingen zijn om overlappingen tussen BB2Door en VO1D te suggereren, een andere malware waarvan bekend is dat hij zich specifiek richt op off-brand Android-gebaseerde tv-boxen.
“Vooral de Badbox 2.0-bedreiging is in de laatste plaats dwingend vanwege de aard van de operatie in het openseizoen,” voegde het bedrijf eraan toe. “Met de achterdeur kunnen geïnfecteerde apparaten worden geïnstrueerd om elke cyberaanval uit te voeren die een dreigingsacteur heeft ontwikkeld.”
De ontwikkeling komt wanneer Google meer dan 180 Android-apps verwijderde van 56 miljoen downloads voor hun betrokkenheid bij een geavanceerd advertentiefraudeschema dat damp wordt nagesynchroniseerd die gebruik maakt van nep-Android-apps om eindeloze, opdringerige volledig schermadvertenties te implementeren, volgens het IAS-dreigingslab.
Het volgt ook op de ontdekking van een nieuwe campagne die de diepe-thema met de diepe dekoze sites gebruikt om niet-vermenging van gebruikers te misleiden om een Android Banking-malware te downloaden die Octo wordt genoemd.
