Se han identificado al menos cuatro actores de amenazas diferentes como involucrados en una versi\u00f3n actualizada de un fraude publicitario masivo y un esquema de poder residencial llamado Badbox, pintando una imagen de un ecosistema de delitos cibern\u00e9tico interconectado.<\/p>\n
Esto incluye Salestracker Group, Moyu Group, Lemon Group y LongTV, seg\u00fan nuevos hallazgos del Equipo de Investigaci\u00f3n e Inteligencia de Amenazas Humanas Satori, publicado en colaboraci\u00f3n con Google, Trend Micro, Shadowserver y otros socios.<\/p>\n
La “operaci\u00f3n de fraude compleja y expansiva” ha sido nombrado en c\u00f3digo Badbox 2.0. Se ha descrito como la botet m\u00e1s grande de dispositivos de TV conectados infectados (CTV) jam\u00e1s descubiertos.<\/p>\n
“Badbox 2.0, al igual que su predecesor, comienza con las puertas traseras en dispositivos de consumo de bajo costo que permiten a los actores de amenaza cargar m\u00f3dulos de fraude de forma remota”, la compa\u00f1\u00eda dicho<\/a>. “Estos dispositivos se comunican con servidores de comando y control (C2) propiedad y operados por una serie de actores de amenaza distintos pero cooperativos”.<\/p>\n Se sabe que los actores de la amenaza explotan varios m\u00e9todos, que van desde compromisos de la cadena de suministro de hardware hasta mercados de terceros, para distribuir lo que aparentemente parecen ser aplicaciones benignas que contienen funcionalidad subrepticia de “cargador” para infectar estos dispositivos y aplicaciones con la puerta trasera.<\/p>\n Posteriormente, la puerta trasera hace que los dispositivos infectados se conviertan en parte de una botnet m\u00e1s grande que est\u00e1 abusada de fraude publicitario program\u00e1tico, fraude de clics y ofrece servicios de proxy residenciales il\u00edcitos –<\/p>\n Se estima que hasta un mill\u00f3n de dispositivos, que comprenden principalmente tabletas de Android de bajo costo, cajas de TV conectadas (CTV), proyectores digitales y sistemas de informaci\u00f3n y entretenimiento de autom\u00f3viles, han ca\u00eddo presas del esquema Badbox 2.0. Todos los dispositivos afectados se fabrican en China continental y se env\u00edan a nivel mundial. La mayor\u00eda de las infecciones se han informado en Brasil (37.6%), Estados Unidos (18.2%), M\u00e9xico (6.3%) y Argentina (5.3%).<\/p>\n Desde entonces, la operaci\u00f3n se ha interrumpido parcialmente por segunda vez en tres meses despu\u00e9s de que un n\u00famero no revelado de dominios Badbox 2.0 se haya hundido en un intento de cortar las comunicaciones con los dispositivos infectados. Google, por su parte, elimin\u00f3 un conjunto de 24 aplicaciones de Play Store que distribuy\u00f3 el malware. Una parte de su infraestructura fue eliminada previamente por el gobierno alem\u00e1n en diciembre de 2024.<\/p>\n “Los dispositivos infectados son dispositivos de proyecto de c\u00f3digo abierto de Android, no dispositivos de Android TV OS o Play Protect Certified Android Devices”, dijo Google. “Si un dispositivo no est\u00e1 reproducido, Google no tiene un registro de resultados de pruebas de seguridad y compatibilidad. Los dispositivos Android certificados de Play Protect certificados experimentan pruebas extensas para garantizar la calidad y la seguridad del usuario”.<\/p>\n La puerta trasera que forma el n\u00facleo de la operaci\u00f3n se basa en un malware Android conocido como Triada. Codenmamed BB2Door, se propaga de tres maneras diferentes: un componente preinstalado en el dispositivo, obtenido de un servidor remoto cuando se inicia por primera vez y se descarga a trav\u00e9s de m\u00e1s de 200 versiones troyanizadas de aplicaciones populares de tiendas de terceros.<\/p>\n Se dice que es la obra de un cl\u00faster de amenazas llamado Moyu Group, que anuncia los servicios de proxy residenciales basados \u200b\u200ben dispositivos infectados con Badbox 2.0. Otros tres grupos de amenazas son responsables de supervisar otros aspectos del esquema –<\/p>\n “Estos grupos se conectaron entre s\u00ed a trav\u00e9s de la infraestructura compartida (servidores C2 comunes) y los lazos de negocios hist\u00f3ricos y actuales”, dijo Human.<\/p>\n La \u00faltima iteraci\u00f3n representa una evoluci\u00f3n y adaptaci\u00f3n significativas, con los ataques que tambi\u00e9n se basan en aplicaciones infectadas de tiendas de aplicaciones de terceros y una versi\u00f3n m\u00e1s sofisticada del malware que implica modificar las bibliotecas de Android leg\u00edtimas para configurar la persistencia.<\/p>\n Curiosamente, hay alguna evidencia que sugiere superposiciones entre BB2Door y VO1D, otro malware que se sabe que se dirige espec\u00edficamente a las cajas de TV basadas en Android fuera de marca.<\/p>\n “La amenaza Badbox 2.0 en particular es convincente en gran parte debido a la naturaleza de la operaci\u00f3n de la temporada abierta”, agreg\u00f3 la compa\u00f1\u00eda. “Con la puerta trasera en su lugar, los dispositivos infectados podr\u00edan recibir instrucciones de llevar a cabo cualquier ataque cibern\u00e9tico que un actor de amenaza desarroll\u00f3”.<\/p>\n El desarrollo se produce como Google remoto<\/a> M\u00e1s de 180 aplicaciones de Android que abarcan 56 millones de descargas por su participaci\u00f3n en un sofisticado esquema de fraude publicitario denominado Vapor que aprovecha las aplicaciones falsas de Android para implementar anuncios de video intersticiales de pantalla completa interminables e intrusivas, seg\u00fan el laboratorio de amenazas de IAS.<\/p>\n Tambi\u00e9n sigue el descubrimiento de un nueva campa\u00f1a<\/a> Eso emplea sitios de se\u00f1uelo tem\u00e1ticos de DeepSeek para enga\u00f1ar a los usuarios desprevenidos para que descarguen un malware bancario Android denominado OCTO.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Badbox-20-Botnet-infecta-1-millon-de-dispositivos-Android-para.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n\n
<\/a><\/center><\/div>\n