Au moins quatre acteurs de menace différents ont été identifiés comme impliqués dans une version mise à jour d’un système massif de fraude publicitaire et de proxy résidentiel appelé Badbox, peignant une image d’un écosystème de cybercriminalité interconnecté.
Cela inclut Salestracker Group, Moyu Group, Lemon Group et LongTV, selon de nouvelles résultats de l’équipe Human Satori Meace Intelligence and Research, publiée en collaboration avec Google, Trend Micro, ShadowServer et d’autres partenaires.
L’opération de fraude complexe et expansive “a été nommée Badbox 2.0. Il a été décrit comme le plus grand botnet d’appareils TV connectés infectés (CTV) jamais découverts.
“Badbox 2.0, comme son prédécesseur, commence par des délais sur les appareils de consommation à faible coût qui permettent aux acteurs de menace de charger des modules de fraude à distance”, la société dit. “Ces appareils communiquent avec des serveurs de commandement et de contrôle (C2) détenus et exploités par une série d’acteurs de menace distincts mais coopératifs.”
Les acteurs de la menace sont connus pour exploiter plusieurs méthodes, allant des compromis de la chaîne d’approvisionnement matérielle aux marchés tiers, afin de distribuer ce qui semble ostensiblement être des applications bénignes qui contiennent une fonctionnalité “chargeur” collaborable pour infecter ces appareils et applications avec la porte dérobée.
La porte dérobée fait par la suite les appareils infectés à faire partie d’un botnet plus grand qui est maltraité pour la fraude publicitaire programmatique, cliquez sur une fraude et offre des services de proxy résidentiel illicites –
- Annonces cachées et lancement de sites Web cachés pour générer de faux revenus publicitaires
- Navigation vers des domaines de basse qualité et cliquer sur les annonces pour un gain financier
- Routage du trafic à travers des appareils compromis
- Utilisation du réseau pour la prise de contrôle du compte (ATO), une fausse création de compte, une distribution de logiciels malveillants et des attaques DDOS
On estime que jusqu’à un million d’appareils, comprenant principalement des tablettes Android peu coûteuses, des boîtes à télévision connectée (CTV), des projecteurs numériques et des systèmes d’infodivertissement automobile, seraient tombés en proie au schéma Badbox 2.0. Tous les appareils affectés sont fabriqués en Chine continentale et expédiés à l’échelle mondiale. Une majorité des infections ont été signalées au Brésil (37,6%), aux États-Unis (18,2%), au Mexique (6,3%) et en Argentine (5,3%).
L’opération a depuis été partiellement perturbée une deuxième fois en trois mois après qu’un nombre non divulgué de domaines Badbox 2.0 ait été coulissé dans le but de couper les communications avec les appareils infectés. Google, pour sa part, a supprimé un ensemble de 24 applications du Play Store qui a distribué le malware. Une partie de son infrastructure a déjà été supprimée par le gouvernement allemand en décembre 2024.
“Les appareils infectés sont des appareils de projet Open Source Android, pas des appareils Android TV OS ou Play Protect Protect Certified Android Appareils”, a déclaré Google. “Si un appareil n’est pas certifié Protect, Google n’a pas un enregistrement des résultats des tests de sécurité et de compatibilité. Play Protect Les appareils Android certifiés subissent des tests approfondis pour garantir la qualité et la sécurité des utilisateurs.”
La porte dérobée qui forme le cœur de l’opération est basée sur un logiciel malveillant Android appelé Triada. Coded BB2Door, il se propage de trois manières différentes: un composant préinstallé sur l’appareil, récupéré à partir d’un serveur distant lorsqu’il est démarré pour la première fois, et téléchargé via plus de 200 versions trojanisées d’applications populaires à partir de magasins tiers.
On dit que ce serait le travail d’un groupe de menaces nommé Moyu Group, qui annonce des services de procuration résidentiels construits sur des appareils infectés par Badbox 2.0. Trois autres groupes de menaces sont chargés de superviser d’autres aspects du programme –
- Salestracker Group, qui est connecté à l’opération Badbox d’origine ainsi qu’à un module qui surveille les appareils infectés
- Lemon Group, qui est connecté à des services de proxy résidentiels basés sur Badbox et une campagne de fraude publicitaire sur un réseau de sites Web de jeux HTML5 (H5) utilisant Badbox 2.0
- Longtv, une société malaisienne d’Internet et de médias dont les deux douzaines d’applications sont à l’origine d’une campagne de fraude publicitaire basée sur une approche connue sous le nom de «Twin maléfique»
“Ces groupes étaient liés les uns aux autres par l’infrastructure partagée (serveurs C2 communs) et les liens commerciaux historiques et actuels”, a déclaré Human.
La dernière itération représente une évolution et une adaptation importantes, les attaques s’appuyant également sur des applications infectées à partir de magasins d’applications tierces et une version plus sophistiquée du malware qui implique de modifier les bibliothèques Android légitimes pour mettre en place la persistance.
Fait intéressant, il existe des preuves suggérant des chevauchements entre BB2Door et VO1D, un autre logiciel malveillant connu pour cibler spécifiquement les boîtes de télévision Android hors marque.
“La menace Badbox 2.0 en particulier est convaincante en grande partie en raison de la nature de l’opération en libre saison”, a ajouté la société. “Avec la porte dérobée en place, les appareils infectés pourraient être invités à réaliser tout cyberattaque qu’un acteur de menace a développé.”
Le développement intervient sous le nom de Google supprimé Plus de 180 applications Android couvrant 56 millions de téléchargements pour leur implication dans un programme de fraude publicitaire sophistiqué surnommé vapeur qui exploite les fausses applications Android pour déployer des publicités vidéo interstitielles intégrales sans fin et intrusives, selon le laboratoire de menace IAS.
Il suit également la découverte d’un nouvelle campagne Cela utilise des sites de leurre sur le thème des profondeurs pour inciter les utilisateurs sans méfiance à télécharger un logiciel malveillant bancaire Android appelé Octo.




