A Alemanha interrompeu uma operação de malware chamada BADBOX que afetou cerca de 30.000 dispositivos conectados à internet vendidos no país. O Escritório Federal de Segurança da Informação (BSI) anunciou, no início desta semana, que conseguiu bloquear a comunicação entre os dispositivos infectados e os servidores de comando e controle (C2), utilizando a técnica conhecida como sinkhole. Dispositivos como porta-retratos digitais, tocadores de mídia e streamers foram identificados como os principais alvos, com uma alta probabilidade de também incluir smartphones e tablets.
O que é o malware BADBOX e como ele afeta os dispositivos?
Segundo o BSI, todos esses dispositivos compartilhavam uma característica comum: versões desatualizadas do Android, além de terem sido entregues com o malware pré-instalado. Esse malware, denominado BADBOX, foi descoberto pela primeira vez pela equipe de pesquisa da HUMAN em outubro de 2023, sendo classificado como um esquema sofisticado que utiliza o malware Triada para comprometer dispositivos Android de baixo custo. O malware aproveita vulnerabilidades na cadeia de suprimentos desses dispositivos.
Ao conectar-se à internet, os dispositivos infectados com o BADBOX podem roubar informações sensíveis, como códigos de autenticação, e até instalar outras ameaças. A operação também envolve uma botnet de fraude de anúncios chamada PEACHPIT, que manipula o tráfego de anúncios em dispositivos Android e iOS. Esse tráfego fraudulento gerado pelos dispositivos infectados é então comercializado em plataformas de publicidade programática, criando um ciclo de lucro através de impressões falsas.
Notícias Relacionadas
Ataques de ransomware
Clop ransomware assume responsabilidade por ataques à plataforma Cleo
A gangue de ransomware Clop assumiu a autoria dos ataques à Cleo, explorando vulnerabilidades de segurança em plataformas de transferência de arquivos para roubo de dados.
Alerta cibernético
Malware IOCONTROL mira dispositivos IoT e SCADA com foco crítico em Linux
O malware IOCONTROL, vinculado ao Irã, visa dispositivos IoT e SCADA em Israel e EUA. Com capacidade modular, ele atinge infraestruturas críticas e utiliza protocolos como MQTT para ocultar tráfego malicioso.
O impacto do BADBOX vai além da fraude de anúncios. Os dispositivos comprometidos podem funcionar como proxies residenciais, permitindo que criminosos roteiem seu tráfego pela rede dos dispositivos infectados, o que dificulta a detecção de suas atividades. Além disso, esses dispositivos podem ser usados para criar contas em serviços populares, como Gmail e WhatsApp.
O BSI orientou os provedores de internet com mais de 100.000 assinantes a redirecionar o tráfego de dispositivos comprometidos para o sinkhole e pediu aos consumidores que desconectem imediatamente seus dispositivos afetados da internet para evitar mais danos.
Esse caso destaca a crescente ameaça de malwares complexos, especialmente aqueles que exploram dispositivos de baixo custo e fornecem um vetor de ataque eficaz para fraude e outras atividades criminosas.
