Malware BadBox infecta a más de 500,000 dispositivos Android.
Una nueva operación interrumpe el funcionamiento de un conocido malware de botnet.
Expertos en ciberseguridad de HUMAN y sus colaboradores han logrado desmantelar la botnet BadBox 2.0, que era la evolución del malware para Android conocido como BadBox. Esta operación incluyó la eliminación de múltiples aplicaciones maliciosas de la Play Store, así como la prohibición de los desarrolladores responsables y el sinkholing de varias direcciones de dominio. La botnet se enfocaba en dispositivos Android de marca desconocida y de bajo costo.
Los investigadores señalaron que los dispositivos afectados son aquellos que utilizan el Android Open Source Project, pero no incluyen dispositivos Android TV OS ni dispositivos certificados por Play Protect. Estos dispositivos son fabricados en China y distribuidos globalmente. En total, se retiraron 24 aplicaciones maliciosas de la tienda, y se prohibieron las cuentas de los desarrolladores que las habían publicadas. Además, HUMAN procedió a sinkholear un número no revelado de dominios, interrumpiendo así la comunicación entre el malware y sus servidores de control. Aunque los dispositivos infectados permanecen así, el malware ya no puede operar.
BadBox convierte los dispositivos Android infectados en proxies residenciales, que se utilizan en fraudes publicitarios y ataques cibernéticos como el credential stuffing. Se estima que ha infectado a cientos de miles de dispositivos, desde cajas de transmisión de TV hasta smartphones. No se ha determinado con precisión cómo fueron comprometidos estos dispositivos, pero algunos expertos sugieren que podrían haber sido afectados durante la producción o a lo largo de la cadena de suministro, particularmente aquellos que son de precios muy bajos y no tienen certificación.
Recientemente, las autoridades alemanas habían interrumpido algunas de las actividades de esta botnet en su territorio, aunque esto solo tuvo un impacto limitado, ya que BadBox aumentó a más de un millón de dispositivos infectados, principalmente en países como Brasil, Estados Unidos y México. Debido a su gran alcance y resistencia, los expertos de HUMAN decidieron nombrarla "BadBox 2.0".
Junto con Google, Trend Micro, The Shadowserver Foundation y otros socios, HUMAN llevó a cabo diversas acciones para interrumpir esta operación. Para protegerse contra tales amenazas, se recomienda adquirir hardware y software de fuentes confiables, mantenerlos actualizados y monitorear actividades sospechosas.
