{"id":1586877,"date":"2025-03-19T22:30:57","date_gmt":"2025-03-20T00:30:57","guid":{"rendered":"https:\/\/teknomers.com\/fr\/badbox-2-0-botnet-infecte-1-million-dappareils-android-pour-la-fraude-publicitaire-et-les-abus-de-proxy\/"},"modified":"2025-03-19T22:31:02","modified_gmt":"2025-03-20T00:31:02","slug":"badbox-2-0-botnet-infecte-1-million-dappareils-android-pour-la-fraude-publicitaire-et-les-abus-de-proxy","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/badbox-2-0-botnet-infecte-1-million-dappareils-android-pour-la-fraude-publicitaire-et-les-abus-de-proxy\/","title":{"rendered":"Badbox 2.0 Botnet infecte 1 million d&#8217;appareils Android pour la fraude publicitaire et les abus de proxy"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Badbox-20-Botnet-infecte-1-million-dappareils-Android-pour-la.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Au moins quatre acteurs de menace diff\u00e9rents ont \u00e9t\u00e9 identifi\u00e9s comme impliqu\u00e9s dans une version mise \u00e0 jour d&#8217;un syst\u00e8me massif de fraude publicitaire et de proxy r\u00e9sidentiel appel\u00e9 Badbox, peignant une image d&#8217;un \u00e9cosyst\u00e8me de cybercriminalit\u00e9 interconnect\u00e9.<\/p>\n<p>Cela inclut Salestracker Group, Moyu Group, Lemon Group et LongTV, selon de nouvelles r\u00e9sultats de l&#8217;\u00e9quipe Human Satori Meace Intelligence and Research, publi\u00e9e en collaboration avec Google, Trend Micro, ShadowServer et d&#8217;autres partenaires.<\/p>\n<p>L&#8217;op\u00e9ration de fraude complexe et expansive &#8220;a \u00e9t\u00e9 nomm\u00e9e Badbox 2.0. Il a \u00e9t\u00e9 d\u00e9crit comme le plus grand botnet d&#8217;appareils TV connect\u00e9s infect\u00e9s (CTV) jamais d\u00e9couverts.<\/p>\n<p>&#8220;Badbox 2.0, comme son pr\u00e9d\u00e9cesseur, commence par des d\u00e9lais sur les appareils de consommation \u00e0 faible co\u00fbt qui permettent aux acteurs de menace de charger des modules de fraude \u00e0 distance&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.humansecurity.com\/learn\/blog\/satori-threat-intelligence-disruption-badbox-2-0\/\" target=\"_blank\">dit<\/a>. &#8220;Ces appareils communiquent avec des serveurs de commandement et de contr\u00f4le (C2) d\u00e9tenus et exploit\u00e9s par une s\u00e9rie d&#8217;acteurs de menace distincts mais coop\u00e9ratifs.&#8221;<\/p>\n<p>Les acteurs de la menace sont connus pour exploiter plusieurs m\u00e9thodes, allant des compromis de la cha\u00eene d&#8217;approvisionnement mat\u00e9rielle aux march\u00e9s tiers, afin de distribuer ce qui semble ostensiblement \u00eatre des applications b\u00e9nignes qui contiennent une fonctionnalit\u00e9 &#8220;chargeur&#8221; \u200b\u200bcollaborable pour infecter ces appareils et applications avec la porte d\u00e9rob\u00e9e.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La porte d\u00e9rob\u00e9e fait par la suite les appareils infect\u00e9s \u00e0 faire partie d&#8217;un botnet plus grand qui est maltrait\u00e9 pour la fraude publicitaire programmatique, cliquez sur une fraude et offre des services de proxy r\u00e9sidentiel illicites &#8211;<\/p>\n<ul>\n<li>Annonces cach\u00e9es et lancement de sites Web cach\u00e9s pour g\u00e9n\u00e9rer de faux revenus publicitaires<\/li>\n<li>Navigation vers des domaines de basse qualit\u00e9 et cliquer sur les annonces pour un gain financier<\/li>\n<li>Routage du trafic \u00e0 travers des appareils compromis<\/li>\n<li>Utilisation du r\u00e9seau pour la prise de contr\u00f4le du compte (ATO), une fausse cr\u00e9ation de compte, une distribution de logiciels malveillants et des attaques DDOS<\/li>\n<\/ul>\n<p>On estime que jusqu&#8217;\u00e0 un million d&#8217;appareils, comprenant principalement des tablettes Android peu co\u00fbteuses, des bo\u00eetes \u00e0 t\u00e9l\u00e9vision connect\u00e9e (CTV), des projecteurs num\u00e9riques et des syst\u00e8mes d&#8217;infodivertissement automobile, seraient tomb\u00e9s en proie au sch\u00e9ma Badbox 2.0. Tous les appareils affect\u00e9s sont fabriqu\u00e9s en Chine continentale et exp\u00e9di\u00e9s \u00e0 l&#8217;\u00e9chelle mondiale. Une majorit\u00e9 des infections ont \u00e9t\u00e9 signal\u00e9es au Br\u00e9sil (37,6%), aux \u00c9tats-Unis (18,2%), au Mexique (6,3%) et en Argentine (5,3%).<\/p>\n<p>L&#8217;op\u00e9ration a depuis \u00e9t\u00e9 partiellement perturb\u00e9e une deuxi\u00e8me fois en trois mois apr\u00e8s qu&#8217;un nombre non divulgu\u00e9 de domaines Badbox 2.0 ait \u00e9t\u00e9 couliss\u00e9 dans le but de couper les communications avec les appareils infect\u00e9s. Google, pour sa part, a supprim\u00e9 un ensemble de 24 applications du Play Store qui a distribu\u00e9 le malware. Une partie de son infrastructure a d\u00e9j\u00e0 \u00e9t\u00e9 supprim\u00e9e par le gouvernement allemand en d\u00e9cembre 2024.<\/p>\n<p>&#8220;Les appareils infect\u00e9s sont des appareils de projet Open Source Android, pas des appareils Android TV OS ou Play Protect Protect Certified Android Appareils&#8221;, a d\u00e9clar\u00e9 Google. &#8220;Si un appareil n&#8217;est pas certifi\u00e9 Protect, Google n&#8217;a pas un enregistrement des r\u00e9sultats des tests de s\u00e9curit\u00e9 et de compatibilit\u00e9. Play Protect Les appareils Android certifi\u00e9s subissent des tests approfondis pour garantir la qualit\u00e9 et la s\u00e9curit\u00e9 des utilisateurs.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742430656_938_Badbox-20-Botnet-infecte-1-million-dappareils-Android-pour-la.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742430656_938_Badbox-20-Botnet-infecte-1-million-dappareils-Android-pour-la.png\" alt=\"\" border=\"0\" data-original-height=\"700\" data-original-width=\"1920\"\/><\/a><\/div>\n<p>La porte d\u00e9rob\u00e9e qui forme le c\u0153ur de l&#8217;op\u00e9ration est bas\u00e9e sur un logiciel malveillant Android appel\u00e9 Triada. Coded BB2Door, il se propage de trois mani\u00e8res diff\u00e9rentes: un composant pr\u00e9install\u00e9 sur l&#8217;appareil, r\u00e9cup\u00e9r\u00e9 \u00e0 partir d&#8217;un serveur distant lorsqu&#8217;il est d\u00e9marr\u00e9 pour la premi\u00e8re fois, et t\u00e9l\u00e9charg\u00e9 via plus de 200 versions trojanis\u00e9es d&#8217;applications populaires \u00e0 partir de magasins tiers.<\/p>\n<p>On dit que ce serait le travail d&#8217;un groupe de menaces nomm\u00e9 Moyu Group, qui annonce des services de procuration r\u00e9sidentiels construits sur des appareils infect\u00e9s par Badbox 2.0. Trois autres groupes de menaces sont charg\u00e9s de superviser d&#8217;autres aspects du programme &#8211;<\/p>\n<ul>\n<li>Salestracker Group, qui est connect\u00e9 \u00e0 l&#8217;op\u00e9ration Badbox d&#8217;origine ainsi qu&#8217;\u00e0 un module qui surveille les appareils infect\u00e9s<\/li>\n<li>Lemon Group, qui est connect\u00e9 \u00e0 des services de proxy r\u00e9sidentiels bas\u00e9s sur Badbox et une campagne de fraude publicitaire sur un r\u00e9seau de sites Web de jeux HTML5 (H5) utilisant Badbox 2.0 <\/li>\n<li>Longtv, une soci\u00e9t\u00e9 malaisienne d&#8217;Internet et de m\u00e9dias dont les deux douzaines d&#8217;applications sont \u00e0 l&#8217;origine d&#8217;une campagne de fraude publicitaire bas\u00e9e sur une approche connue sous le nom de \u00abTwin mal\u00e9fique\u00bb<\/li>\n<\/ul>\n<p>&#8220;Ces groupes \u00e9taient li\u00e9s les uns aux autres par l&#8217;infrastructure partag\u00e9e (serveurs C2 communs) et les liens commerciaux historiques et actuels&#8221;, a d\u00e9clar\u00e9 Human.<\/p>\n<p>La derni\u00e8re it\u00e9ration repr\u00e9sente une \u00e9volution et une adaptation importantes, les attaques s&#8217;appuyant \u00e9galement sur des applications infect\u00e9es \u00e0 partir de magasins d&#8217;applications tierces et une version plus sophistiqu\u00e9e du malware qui implique de modifier les biblioth\u00e8ques Android l\u00e9gitimes pour mettre en place la persistance.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Fait int\u00e9ressant, il existe des preuves sugg\u00e9rant des chevauchements entre BB2Door et VO1D, un autre logiciel malveillant connu pour cibler sp\u00e9cifiquement les bo\u00eetes de t\u00e9l\u00e9vision Android hors marque.<\/p>\n<p>&#8220;La menace Badbox 2.0 en particulier est convaincante en grande partie en raison de la nature de l&#8217;op\u00e9ration en libre saison&#8221;, a ajout\u00e9 la soci\u00e9t\u00e9. &#8220;Avec la porte d\u00e9rob\u00e9e en place, les appareils infect\u00e9s pourraient \u00eatre invit\u00e9s \u00e0 r\u00e9aliser tout cyberattaque qu&#8217;un acteur de menace a d\u00e9velopp\u00e9.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient sous le nom de Google <a rel=\"noopener nofollow\" href=\"https:\/\/integralads.com\/insider\/ias-threat-lab-fraud-scheme-fake-android-apps\/\" target=\"_blank\">supprim\u00e9<\/a> Plus de 180 applications Android couvrant 56 millions de t\u00e9l\u00e9chargements pour leur implication dans un programme de fraude publicitaire sophistiqu\u00e9 surnomm\u00e9 vapeur qui exploite les fausses applications Android pour d\u00e9ployer des publicit\u00e9s vid\u00e9o interstitielles int\u00e9grales sans fin et intrusives, selon le laboratoire de menace IAS.<\/p>\n<p>Il suit \u00e9galement la d\u00e9couverte d&#8217;un <a rel=\"noopener nofollow\" href=\"https:\/\/labs.k7computing.com\/index.php\/android-banking-trojan-octov2-masquerading-as-deepseek-ai\/\" target=\"_blank\">nouvelle campagne<\/a> Cela utilise des sites de leurre sur le th\u00e8me des profondeurs pour inciter les utilisateurs sans m\u00e9fiance \u00e0 t\u00e9l\u00e9charger un logiciel malveillant bancaire Android appel\u00e9 Octo.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/badbox-20-botnet-infects-1-million.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 mars 2025\ue804Ravie LakshmananCyberattaque \/ malware Au moins quatre acteurs de menace diff\u00e9rents ont \u00e9t\u00e9 identifi\u00e9s comme impliqu\u00e9s dans une version mise \u00e0 jour d&#8217;un syst\u00e8me massif de fraude publicitaire et de proxy r\u00e9sidentiel appel\u00e9 Badbox, peignant une image d&#8217;un \u00e9cosyst\u00e8me de cybercriminalit\u00e9 interconnect\u00e9. Cela inclut Salestracker Group, Moyu Group, Lemon Group et LongTV, selon [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1586878,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12479,274266,274265,8738,268088,5464,4168,79002,274264,4161,274263,6124,21603,5473,16220,65,274267,358,4160,185,27432,23938,238617,246491,4172,79016,4166,4164],"class_list":["post-1586877","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abus","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-android","tag-badbox","tag-botnet","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dappareils","tag-fraude","tag-infecte","tag-les","tag-malware-ransomware","tag-million","tag-mises-a-jour-de-la-cybersecurite","tag-pour","tag-proxy","tag-publicitaire","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1586877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1586877"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1586877\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1586878"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1586877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1586877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1586877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}