L’équipe de recherche Satori de Human Security a signalé la résurgence du botnet Badbox, désormais propulsé jusqu’à un million d’appareils Android infectés. Cette variante du logiciel malveillant Badbox à distance contrôlable a été identifiée dans divers matériel hors marque, y compris des téléphones Android bon marché, des boîtes de télévision connectées, des tablettes et des projecteurs numériques.
Badbox Botnet refait surface, infectant un million d’appareils Android dans le monde entier
L’épidémie initiale de Badbox s’est produite en 2023, impliquant des appareils télévisés connectés à Android hors marque qui ont participé à un grand schéma publicitaire nommé Peachpit, avec environ 74 000 appareils impliqués dans le premier cluster. Badbox 2.0 cible les appareils exécutant le projet Open Source Android (AOSP) et s’est répandu à environ un million d’appareils dans plus de 220 pays.
Gavin Reid, CISO de la sécurité humaine, expliqué que les opérateurs du botnet altération de la chaîne d’approvisionnement en achetant du matériel bon marché, en le rebadissant et en intégrant du code malveillant dans le firmware ou des applications populaires, qui sont ensuite vendues aux consommateurs. Plus de 200 applications contenant des logiciels malveillants associés au botnet ont été découvertes, principalement hébergées dans des magasins d’applications Android tiers, reproduisant souvent des applications légitimes du Google Play Store pour tromper les utilisateurs pour les télécharger.
« Le schéma Badbox 2.0 est plus grand et bien pire que ce que nous avons vu en 2023 », a déclaré Reid, soulignant l’augmentation des types d’appareils ciblés et la complexité des mécanismes de fraude utilisés. Le réseau a produit le trafic de 222 pays et territoires depuis la résurgence du botnet l’automne dernier.
La monétisation de ce botnet implique des vues d’annonces cachées et une fraude à la publicité, déguisée efficacement pour échapper à la détection. Lindsay Kaye, vice-présidente du renseignement des menaces à la sécurité humaine, a noté que les opérateurs du botnet cachent leurs intentions frauduleuses en entrecouchant un trafic réel avec les activités illicites des ménages infectés, en rendant la détection par les réseaux publicitaires beaucoup plus difficile.
Outre la fraude publicitaire, les logiciels malveillants présentent également des risques tels que le vol de mot de passe et le potentiel d’attaques de déni de service. À son apogée, Badbox 2.0 a infecté près d’un million d’appareils, mais ce nombre a été réduit de moitié en raison des efforts de la sécurité humaine, Google, Trend Micro et ShadowServer, qui ont identifié et arrêté plusieurs serveurs de commandement et de contrôle gérant le botnet.
Kaye a indiqué que les logiciels malveillants avaient été capturés dans sa phase de développement, avec de nombreux modules étiquetés «test». Malgré cela, il y a des inquiétudes quant à la possibilité du renouveau du botnet, similaire aux incidents antérieurs après la découverte du réseau Badbox d’origine. Les appareils touchés par Badbox 2.0 sont principalement fabriqués en Chine, certains auraient été utilisés dans les écoles publiques aux États-Unis
Badbox Botnet infecte plus de 192 000 appareils Android dans le monde entier
En décembre 2024, le BSI allemand a lancé une campagne de perturbation qui a coulé les communications de plus de 30 000 appareils infectés à leurs serveurs de commandement et de contrôle, mais a rapidement découvert un autre groupe plus large de plus de 190 000 appareils. L’opération Badbox 2.0 exploite les vulnérabilités de la chaîne d’approvisionnement, où les appareils arrière reçoivent du code malveillant lors de l’activation ou du téléchargement à partir de marchés tiers.
Les acteurs de la menace identifiés incluent le groupe Salestracker, le groupe Moyu, le groupe de citron et LongTV, indiquant les efforts de collaboration entre des acteurs malveillants distincts, la mise en commun des ressources pour améliorer l’opération de fraude.
Pour atténuer la menace, les mesures de prévention de la fraude publicitaire ont été mises en œuvre et le jeu de Google protège les capacités de détection supplémentaires pour les comportements associés à Badbox. Il reste une menace persistante de la part de ces opérateurs car ils sont susceptibles d’adapter et de reconstruire leurs stratégies d’attaque.
Il est conseillé aux utilisateurs de rester vigilants, en particulier contre certaines applications malveillantes telles que «gagner un revenu supplémentaire» et «la calculatrice de l’ovulation de grossesse», qui a été liée au malware. L’installation d’une solution de sécurité robuste peut encore protéger les appareils Android des risques posés par le botnet Badbox.
Crédit d’image en vedette: Kerem gülen / idéogramme
