Segurança cibernética

Alemanha interrompe operação do malware BADBOX em 30.000 dispositivos com ação de Sinkhole

A Alemanha bloqueia operação de malware BADBOX, afetando 30.000 dispositivos com Android desatualizado, através de ação de Sinkhole, prejudicando segurança cibernética e promovendo fraude de anúncios.

Alerta de malware em tons vermelhos destacando um aviso de infecção, ilustrando a ameaça do vírus Perfctl em servidores Linux.

A Alemanha interrompeu uma operação de malware chamada BADBOX que afetou cerca de 30.000 dispositivos conectados à internet vendidos no país. O Escritório Federal de Segurança da Informação (BSI) anunciou, no início desta semana, que conseguiu bloquear a comunicação entre os dispositivos infectados e os servidores de comando e controle (C2), utilizando a técnica conhecida como sinkhole. Dispositivos como porta-retratos digitais, tocadores de mídia e streamers foram identificados como os principais alvos, com uma alta probabilidade de também incluir smartphones e tablets.

O que é o malware BADBOX e como ele afeta os dispositivos?

Imagem com o nome malware em destaque

Segundo o BSI, todos esses dispositivos compartilhavam uma característica comum: versões desatualizadas do Android, além de terem sido entregues com o malware pré-instalado. Esse malware, denominado BADBOX, foi descoberto pela primeira vez pela equipe de pesquisa da HUMAN em outubro de 2023, sendo classificado como um esquema sofisticado que utiliza o malware Triada para comprometer dispositivos Android de baixo custo. O malware aproveita vulnerabilidades na cadeia de suprimentos desses dispositivos.

Ao conectar-se à internet, os dispositivos infectados com o BADBOX podem roubar informações sensíveis, como códigos de autenticação, e até instalar outras ameaças. A operação também envolve uma botnet de fraude de anúncios chamada PEACHPIT, que manipula o tráfego de anúncios em dispositivos Android e iOS. Esse tráfego fraudulento gerado pelos dispositivos infectados é então comercializado em plataformas de publicidade programática, criando um ciclo de lucro através de impressões falsas.

O impacto do BADBOX vai além da fraude de anúncios. Os dispositivos comprometidos podem funcionar como proxies residenciais, permitindo que criminosos roteiem seu tráfego pela rede dos dispositivos infectados, o que dificulta a detecção de suas atividades. Além disso, esses dispositivos podem ser usados para criar contas em serviços populares, como Gmail e WhatsApp.

O BSI orientou os provedores de internet com mais de 100.000 assinantes a redirecionar o tráfego de dispositivos comprometidos para o sinkhole e pediu aos consumidores que desconectem imediatamente seus dispositivos afetados da internet para evitar mais danos.

Esse caso destaca a crescente ameaça de malwares complexos, especialmente aqueles que exploram dispositivos de baixo custo e fornecem um vetor de ataque eficaz para fraude e outras atividades criminosas.