Introduzione Il team Satori Threat Intelligence and Research di HUMAN Security ha scoperto e parzialmente interrotto una vasta e complessa operazione di frode soprannominata "BADBOX 2.0". Questa rappresenta un'evoluzione e un'espansione significative dell'operazione BADBOX del 2023 ed è la più grande botnet mai rilevata composta da dispositivi Connected TV (CTV) infetti e altri dispositivi consumer a basso costo.
Cosa è BADBOX 2.0? BADBOX 2.0 si basa su backdoor preinstallate o scaricate da marketplace di terze parti su dispositivi consumer a basso costo, spesso "non di marca", come box CTV, tablet, proiettori digitali e sistemi di infotainment per veicoli. Questi dispositivi, basati su Android Open Source Project (non certificati Google Play Protect), vengono infettati con moduli di frode che consentono agli attori della minaccia di condurre vari attacchi, tra cui:
- Frode pubblicitaria programmatica e click fraud: utilizzo di annunci nascosti e finestre di browser nascoste per generare entrate illecite.
- Servizi di proxy residenziale: vendita dell'accesso all'indirizzo IP del dispositivo dell'utente senza consenso, facilitando attacchi come il furto di account (ATO), la creazione di account falsi, attacchi DDoS e la distribuzione di malware.
- Furto di password monouso (OTP): compromissione della sicurezza degli account degli utenti.
Collaborazione e Disruzione HUMAN Security ha collaborato strettamente con Google, Trend Micro, Shadowserver e altri partner per interrompere l'infrastruttura di BADBOX 2.0. Google ha adottato misure significative, tra cui la terminazione degli account degli editori associati e l'emissione di avvisi tramite Google Play Protect per i dispositivi certificati.
Meccanismi di Attacco e Gruppi Coinvolti L'operazione BADBOX 2.0 è sostenuta da una backdoor, soprannominata "BB2DOOR", che fornisce agli aggressori un accesso privilegiato persistente ai dispositivi. Questa backdoor si attiva al primo avvio del dispositivo o tramite il download di applicazioni malevole, stabilendo una comunicazione con server Command and Control (C2) per scaricare e installare ulteriori moduli di frode.
Sono stati identificati quattro gruppi di attori della minaccia coinvolti:
- SalesTracker Group: Ritenuto responsabile dell'operazione BADBOX originale e della gestione dell'infrastruttura C2 per BADBOX 2.0.
- MoYu Group: Ha sviluppato la backdoor per BADBOX 2.0 e gestisce campagne di click fraud e frode pubblicitaria.
- Lemon Group: Collegato ai servizi di proxy residenziale e a una campagna di frode pubblicitaria tramite siti web di giochi HTML5.
- LongTV: Un brand che nasconde gli annunci, contribuendo ulteriormente agli schemi di frode.
Approfondimenti L'operazione BADBOX 2.0 evidenzia la crescente sofisticazione dei criminali informatici nel colpire ogni fase del percorso del cliente, sfruttando dispositivi di basso costo e catene di approvvigionamento software/hardware vulnerabili. La capacità di spingere qualsiasi funzionalità desiderata sui dispositivi infetti sottolinea la gravità della minaccia. Questo caso dimostra l'importanza della collaborazione tra aziende di sicurezza e giganti tecnologici per contrastare le minacce su larga scala e proteggere gli utenti. La raccomandazione di Google di utilizzare dispositivi certificati Play Protect e di monitorare il traffico di rete domestica è cruciale per la prevenzione.
Conclusioni BADBOX 2.0 è un promemoria allarmante della necessità di vigilanza nella sicurezza dei dispositivi connessi. La natura pervasiva della frode e la varietà di attacchi possibili sottolineano l'importanza di acquisire dispositivi da fonti affidabili e di mantenere il software aggiornato.
Link ai domini incriminati in formato .csv
