Aggiornamenti recenti Aprile 24th, 2025 3:33 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
- SuperCard X, il nuovo malware Android che sottrae i dati delle carte di pagamento
- CERT-AGID 12 – 18 aprile: nuove campagne di phishing per pagoPA e Ministero della Salute
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
BadBox è stato smantellato (di nuovo): colpiti oltre 1 milione di dispositivi
Dopo essere stata smantellata nel 2023, la botnet BadBox è tornata a colpire i dispositivi Android mietendo oltre 1 milione di vittime. La nuova campagna, chiamata BadBox 2.0, è stata nuovamente interrotta dal team di Satori Threat Intelligence di HUMAN in collaborazione con Google, Trend Micro, Shadowserver e altri partner.
Questa volta i dispositivi colpiti sono stati, tra gli altri, tablet, TV box, proiettori digitali connessi, tutti non ufficiali, low-cost e prodotti in Cina. Stando a quanto riportato dai ricercatori, la botnet era estesa a 222 territori in tutto il mondo.
I dispositivi colpiti avevano una backdoor che consentiva agli attaccanti di accedere al device ed eseguire diversi tipi di frode, tra i quali vendere l’indirizzo IP senza il permesso dell’utente, usare applicazioni built-in per renderizzare pubblicità nascoste, aprire finestre nascoste di browser per navigare su un sito web di giochi di proprietà dei cybercriminali e cliccare su un banner pubblicitario senza che l’utente se ne accorgesse.
Questi schemi di attacco sono stati tra i più diffusi, ma non sono gli unici: grazie alla backdoor, gli attaccanti potevano caricare qualsiasi payload malevolo sul dispositivo tramite un file APK o eseguire codice arbitrario.
La backdoor veniva distribuita in tre modi: pre-installata sul dispositivo; caricata da un server C2 contattato all’avvio del device; infine, scaricata da marketplace di terze parti da utenti ignari del pericolo.
L’ecosistema di BadBox 2.0
Il team di HUMAN ha individuato BadBox 2.0 mentre analizzava l’infrastruttura rimasta della precedente botnet. Il malware era stato individuato per la prima volta nel novembre 2022 ed era stato smantellato nell’aprile 2023; un anno dopo, sempre ad aprile, i ricercatori di HUMAN hanno scoperto nuovi server C2 sotto il controllo degli stessi attaccanti di BadBox.
I ricercatori hanno individuato quattro gruppi di cyberattaccanti coinvolti nell’operazione, ognuno che si occupava di aspetti diversi della botnet. Il gruppo SalesTracker gestiva un modulo per monitorare i dispositivi infetti. Secondo i ricercatori, è il team responsabile delle due operazioni.
MoYu si p occupato di sviluppare la backdoor, coordinandone le varianti e i dispositivi su cui installarla. Questo gruppo ha gestito una botnet minore composta da un sotto-insieme di dispositivi infetti e ha eseguito due delle frodi individuate dai ricercatori.
Il gruppo Lemon è legato ai servizi di residential proxy creati dall’operazione e ha gestito la campagna fraudolenta del sito web di videogiochi; infine, LongTv, brand gestito da una compagnia malesiana produttrice di TV connesse Android, è la responsabile di una campagna basata su banner pubblicitari nascosti, grazie a un malware distribuito tramite app infette.
“Questi gruppi sono collegati tra loro attraverso un’infrastruttura condivisa (server C2 in comune) e legami commerciali storici e attuali” ha spiegato il team di HUMAN. “Forse l’aspetto più importante della storia di BadBox 2.0 è il numero di gruppi cybercriminali eterogenei che sono stati coinvolti. Non si è trattato di un attacco da parte di un singolo gruppo, ma di un insieme di team che condividevano le risorse; e non solo condividevano le infrastrutture da cui sostenere l’attacco, ma condividevano anche gli obiettivi. Si è trattato di una sorta di attacco “tutti per uno, uno per tutti”, una versione “dark mirror” del Human Collective“.
Più di un terzo dei dispositivi infetti si trovano in Brasile: qui i device low-cost con sistema operativo Android Open Source Project sono particolarmente diffusi. A seguire troviamo gli Stati Uniti, il Messico, l’Argentina e la Colombia.
La botnet è stata smantellata solo parzialmente. “Anche se riusciamo a identificare i gruppi di cybercriminali responsabili dei diversi componenti dell’operazione, smantellare completamente la botnet è difficile poiché la supply chain dei dispositivi è ancora intatta” ha spiegato HUMAN. Google ha eliminato gli account publisher legati ai cybercriminali, impedendogli di monetizzare sulla botnet, ma è altamente probabile che il gruppo riadatti le proprie operazioni per colpire di nuovo.
Condividi l'articolo
Fortinet estende il suo Academic Partner Program per colmare il divario di conoscenze di cybersecurity
Indagine Zscaler: le aziende devono investire sulla resilienza informatica
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di... -
SuperCard X, il nuovo malware Android che sottrae i dati... I ricercatori di Cleafy, compagnia di sicurezza... -
CERT-AGID 12 – 18 aprile: nuove campagne di phishing per... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
Ransomware: la serie
No posts found.
