Se han identificado al menos cuatro actores de amenazas diferentes como involucrados en una versión actualizada de un fraude publicitario masivo y un esquema de poder residencial llamado Badbox, pintando una imagen de un ecosistema de delitos cibernético interconectado.
Esto incluye Salestracker Group, Moyu Group, Lemon Group y LongTV, según nuevos hallazgos del Equipo de Investigación e Inteligencia de Amenazas Humanas Satori, publicado en colaboración con Google, Trend Micro, Shadowserver y otros socios.
La “operación de fraude compleja y expansiva” ha sido nombrado en código Badbox 2.0. Se ha descrito como la botet más grande de dispositivos de TV conectados infectados (CTV) jamás descubiertos.
“Badbox 2.0, al igual que su predecesor, comienza con las puertas traseras en dispositivos de consumo de bajo costo que permiten a los actores de amenaza cargar módulos de fraude de forma remota”, la compañía dicho. “Estos dispositivos se comunican con servidores de comando y control (C2) propiedad y operados por una serie de actores de amenaza distintos pero cooperativos”.
Se sabe que los actores de la amenaza explotan varios métodos, que van desde compromisos de la cadena de suministro de hardware hasta mercados de terceros, para distribuir lo que aparentemente parecen ser aplicaciones benignas que contienen funcionalidad subrepticia de “cargador” para infectar estos dispositivos y aplicaciones con la puerta trasera.
Posteriormente, la puerta trasera hace que los dispositivos infectados se conviertan en parte de una botnet más grande que está abusada de fraude publicitario programático, fraude de clics y ofrece servicios de proxy residenciales ilícitos –
- Anuncios ocultos y lanzamiento de WebViews ocultos para generar ingresos publicitarios falsos
- Navegación a dominios de baja calidad y hacer clic en anuncios para obtener ganancias financieras
- Enrutamiento del tráfico a través de dispositivos comprometidos
- Uso de la red para la adquisición de la cuenta (ATO), la creación de cuentas falsas, la distribución de malware y los ataques DDoS
Se estima que hasta un millón de dispositivos, que comprenden principalmente tabletas de Android de bajo costo, cajas de TV conectadas (CTV), proyectores digitales y sistemas de información y entretenimiento de automóviles, han caído presas del esquema Badbox 2.0. Todos los dispositivos afectados se fabrican en China continental y se envían a nivel mundial. La mayoría de las infecciones se han informado en Brasil (37.6%), Estados Unidos (18.2%), México (6.3%) y Argentina (5.3%).
Desde entonces, la operación se ha interrumpido parcialmente por segunda vez en tres meses después de que un número no revelado de dominios Badbox 2.0 se haya hundido en un intento de cortar las comunicaciones con los dispositivos infectados. Google, por su parte, eliminó un conjunto de 24 aplicaciones de Play Store que distribuyó el malware. Una parte de su infraestructura fue eliminada previamente por el gobierno alemán en diciembre de 2024.
“Los dispositivos infectados son dispositivos de proyecto de código abierto de Android, no dispositivos de Android TV OS o Play Protect Certified Android Devices”, dijo Google. “Si un dispositivo no está reproducido, Google no tiene un registro de resultados de pruebas de seguridad y compatibilidad. Los dispositivos Android certificados de Play Protect certificados experimentan pruebas extensas para garantizar la calidad y la seguridad del usuario”.
La puerta trasera que forma el núcleo de la operación se basa en un malware Android conocido como Triada. Codenmamed BB2Door, se propaga de tres maneras diferentes: un componente preinstalado en el dispositivo, obtenido de un servidor remoto cuando se inicia por primera vez y se descarga a través de más de 200 versiones troyanizadas de aplicaciones populares de tiendas de terceros.
Se dice que es la obra de un clúster de amenazas llamado Moyu Group, que anuncia los servicios de proxy residenciales basados en dispositivos infectados con Badbox 2.0. Otros tres grupos de amenazas son responsables de supervisar otros aspectos del esquema –
- Grupo Salestracker, que está conectado a la operación original de Badbox, así como a un módulo que monitorea los dispositivos infectados
- Lemon Group, que está conectado a servicios de proxy residenciales basados en Badbox y una campaña de fraude publicitario en una red de sitios web de juegos HTML5 (H5) que usan Badbox 2.0
- Longtv, una compañía de medios de Internet y Internet de Malasia, cuyas dos docenas de aplicaciones están detrás de una campaña de fraude publicitario basado en un enfoque conocido como “gemelo malvado”
“Estos grupos se conectaron entre sí a través de la infraestructura compartida (servidores C2 comunes) y los lazos de negocios históricos y actuales”, dijo Human.
La última iteración representa una evolución y adaptación significativas, con los ataques que también se basan en aplicaciones infectadas de tiendas de aplicaciones de terceros y una versión más sofisticada del malware que implica modificar las bibliotecas de Android legítimas para configurar la persistencia.
Curiosamente, hay alguna evidencia que sugiere superposiciones entre BB2Door y VO1D, otro malware que se sabe que se dirige específicamente a las cajas de TV basadas en Android fuera de marca.
“La amenaza Badbox 2.0 en particular es convincente en gran parte debido a la naturaleza de la operación de la temporada abierta”, agregó la compañía. “Con la puerta trasera en su lugar, los dispositivos infectados podrían recibir instrucciones de llevar a cabo cualquier ataque cibernético que un actor de amenaza desarrolló”.
El desarrollo se produce como Google remoto Más de 180 aplicaciones de Android que abarcan 56 millones de descargas por su participación en un sofisticado esquema de fraude publicitario denominado Vapor que aprovecha las aplicaciones falsas de Android para implementar anuncios de video intersticiales de pantalla completa interminables e intrusivas, según el laboratorio de amenazas de IAS.
También sigue el descubrimiento de un nueva campaña Eso emplea sitios de señuelo temáticos de DeepSeek para engañar a los usuarios desprevenidos para que descarguen un malware bancario Android denominado OCTO.
About the Author
