Almanya Federal Bilgi Güvenliği Dairesi (BSI), ülke genelinde satılan en az 30.000 internete bağlı cihaza önceden yüklenmiş olarak gelen BADBOX adlı kötü amaçlı yazılım operasyonunu engellediğini duyurdu.
Bu haftanın başlarında yayınlanan bir bildiride yetkililer, söz konusu alanları çökerterek cihazlar ile komuta ve kontrol (C2) sunucuları arasındaki iletişimi kestiklerini söyledi. Etkilenen cihazlar arasında dijital resim çerçeveleri, medya oynatıcılar, yayıncılar ve muhtemelen telefonlar ve tabletler yer alıyor.
BSI, “Tüm bu cihazların ortak noktası, eski Android sürümlerine sahip olmaları ve önceden yüklenmiş kötü amaçlı yazılımlarla birlikte teslim edilmiş olmalarıdır.” söz konusu bir basın açıklamasında.
BADBOX, ilk olarak HUMAN’ın Satori Tehdit İstihbaratı ve Araştırma ekibi tarafından Ekim 2023’te belgelendi ve bunu, zayıf tedarik zinciri bağlantılarından yararlanarak Triada Android kötü amaçlı yazılımını düşük maliyetli, marka dışı Android cihazlara dağıtmayı içeren “karmaşık bir tehdit aktörü planı” olarak tanımladı.
Cihazlara gömülü kötü amaçlı yazılım, internete bağlandıktan sonra kimlik doğrulama kodları gibi çok çeşitli verileri toplayabilir ve ek kötü amaçlı yazılımlar yükleyebilir.
Çin dışında yürütüldüğü değerlendirilen operasyon, aynı zamanda popüler Android ve iOS uygulamalarını ve uygulamalar aracılığıyla BADBOX bulaşmış cihazlardan gelen kendi sahte trafiğini taklit etmek için tasarlanmış PEACHPIT adlı bir reklam sahtekarlığı botnet’ini de içeriyor. Sahte gösterimler daha sonra programatik reklamcılık yoluyla satılıyor.
HUMAN o dönemde şöyle demişti: “Bu tam reklam dolandırıcılığı döngüsü, kendi sahte, sahte uygulamaları üzerindeki sahte reklam gösterimlerinden para kazandıkları anlamına geliyor.” “Herkes yanlışlıkla bir BADBOX cihazını çevrimiçi olarak satın alabilir, bunun sahte olduğunu bilmeden, onu takmadan ve bilmeden bu arka kapı kötü amaçlı yazılımını açmadan.”
BSI, BADBOX tarafından ele geçirilen cihazların aynı zamanda bir konut proxy hizmeti olarak da hareket edebildiğini ve diğer tehdit aktörlerinin internet trafiğini bu cihazlar üzerinden yönlendirmesine ve aynı zamanda tespitten kaçmasına olanak tanıdığını söyledi. Ayrıca Gmail ve WhatsApp’ta çevrimiçi hesaplar oluşturmak için de kullanılabilirler.
Ajans, ülkedeki 100.000’den fazla abonesi olan tüm internet sağlayıcılarına trafiği bu çukura yönlendirme talimatı vermenin yanı sıra, tüketicilere etkilenen cihazların internet bağlantısını derhal geçerli olmak üzere kesmeleri yönünde çağrıda bulunuyor.