Google heeft donderdag aangetoond dat het juridische stappen onderneemt bij de federale rechtbank van New York tegen 25 niet nader genoemde personen of entiteiten in China wegens vermeende Badbox 2.0 Botnet en residentiële proxy -infrastructuur.
“Het Badbox 2.0-botnet heeft meer dan 10 miljoen niet-gecertificeerde apparaten aangetast met de open-source software van Android (Android Open Source Project), die de beveiligingsbescherming van Google mist,” zei de tech-gigant.
“Cybercriminelen hebben deze apparaten geïnfecteerd met vooraf geïnstalleerde malware en exploiteerden ze om grootschalige advertentiefraude en andere digitale misdaden uit te voeren.”
Het bedrijf zei dat het onmiddellijk stappen heeft ondernomen om Google Play Protect, een malware en ongewenst mechanisme voor softwarebescherming bij te werken die in Android zijn ingebouwd, om automatisch Badbox-gerelateerde apps te dwarsbomen.
De ontwikkeling komt iets meer dan een maand nadat het US Federal Bureau of Investigation (FBI) een waarschuwing heeft gegeven over de Badbox 2.0 Botnet.
Badbox, voor het eerst gedetecteerd eind 2022, is bekend dat het zich verspreidt via Internet of Things (IoT) -apparaten zoals tv -streamingapparaten, digitale projectoren, aftermarket voertuiginfotainmentsystemen, digitale fotolijsten en andere producten, waarvan de meeste in China zijn vervaardigd.
“Cybercriminelen krijgen ongeautoriseerde toegang tot thuisnetwerken door het product te configureren met kwaadaardige software voordat de gebruikers het apparaat kopen of infecteren, omdat het de vereiste applicaties downloadt die backdoors bevatten, meestal tijdens het opstellingsproces,” waarschuwde de FBI.
In een analyse die eerder in maart werd gepubliceerd, beschreef Human Security de dreiging als het grootste botnet van geïnfecteerde Connected TV (CTV) -apparaten die ooit tot op heden zijn ontdekt. De overgrote meerderheid van Badbox -infecties is gemeld in Brazilië, de Verenigde Staten, Mexico en Argentinië.
Terwijl vroege iteraties van de malware werden gepropageerd via supply chain -compromissen die de IoT -apparaten met malware voorafgaand aan de aankoop achterdierden, hebben de aanvalsketens sindsdien aangepast om infecties te kunnen verspreiden via kwaadaardige apps die zijn gedownload van onofficiële marktplaatsen.
Naar schatting zijn er meer dan 10 miljoen apparaten in het botnet geroteerd, waardoor de operators toegang tot gecompromitteerde thuisnetwerken kunnen verkopen om verschillende soorten illegale activiteiten door andere dreigingsactoren te vergemakkelijken.
In een klacht ingediend op 11 juli 2025 beweerde Google dat de Badbox Enterprise meerdere groepen bestaat, die elk verantwoordelijk zijn voor verschillende aspecten van de criminele infrastructuur –
- De infrastructuurgroep, die de primaire command-and-control (C2) -infrastructuur van Badbox 2.0 heeft opgericht en beheerd
- De Backdoor Malwaregroep, die achterdeurmalware ontwikkelt en vooraf installeert in de bots
- De kwaadaardige tweelinggroep, die achter een advertentiefraudecampagne zitten die “Evil Twin” -versies creëert van legitieme apps die beschikbaar zijn in Google Play Store om advertenties te bedienen en verborgen webbrowsers te lanceren die verborgen advertenties laden
- De advertentie -gamesgroep, die frauduleuze “games” gebruikt om advertenties te genereren
Het bedrijf beschuldigde ook Badbox 2.0 -actoren van het maken van uitgeveraccounts op het Google -advertentienetwerk om advertentieruimte aan te bieden op hun apps of websites, waarvoor ze worden gecompenseerd door Google.
“Het enige doel van de apps en websites van de onderneming is om advertentieruimte te bieden aan Badbox 2.0 -bots om verkeer te genereren,” zei Google. “De Enterprise zal Badbox 2.0 -bots implementeren om die advertenties te ‘bekijken’ en talloze indrukken van de advertentie te genereren. Google betaalt de Badbox 2.0 Enterprise (…) voor die indrukken.”
Bovendien wees Google erop dat de illegale operatie de dreigingsactoren op drie verschillende manieren in staat stelt om te profiteren van advertentiefraude op zijn netwerk: schijnbaar legitieme apps gebruiken om zeer verborgen advertenties te laden via het “kwaadaardige twin” -schema, verborgen webbrowsers openen en interactie aangaan met advertenties op game -websites die door hen zijn gecreëerd, en door hen gecreëerde door hen gecreëerde game -websites die door hen zijn gecreëerd, en geïnfecteerde hulpmiddelen voor het uitvoeren van FRAUD.
“De rechtbank heeft een voorlopig bevel gegeven, dat wil zeggen dat de Badbox 2.0-onderneming hun BOTNET-activiteiten en bijbehorende criminele schema’s wereldwijd onmiddellijk stopt, en heeft een externe internetdienstverleners en domeinregisters gedwongen om actief te helpen bij het ontmantelen van de infrastructuur van het BOTNET, bij het blokkeren van verkeer naar en van gespecificeerde domeinen,” Google zei. Google. Google. Google. Google.
In een verklaring die met The Hacker News werd gedeeld, verwelkomde Stu Solomon, CEO van Human Security, de actie van Google tegen de dreigingsactoren achter Badbox 2.0, waarin staat dat de inspanning een voorbeeld is van de kracht van het samenwerken tegen dergelijke bedreigingen.
“Deze verwijdering is een belangrijke stap vooruit in de lopende strijd om het internet te beveiligen van geavanceerde fraudeoperaties die apparaten kapen, geld stelen en consumenten exploiteren zonder hun medeweten,” voegde Solomon eraan toe.
