Наблюдавано е свързване на повече от 190 000 устройства с Android към новооткритата инфраструктура на ботнета BadBox, съобщава фирмата за киберсигурност Bitsight.

Синхолизирането на домейна BadBox разкри, че повечето от заразените устройства са уникални модели, които не са виждани досега, като например смарт телевизори Yandex 4K QLED и смартфони Hisense T963, като най-засегнати са Русия, Китай, Индия, Беларус, Бразилия и Украйна.

Първоначално подробно описан през октомври 2023 г., злонамереният софтуер BadBox е предварително инсталиран във фърмуера на евтини устройства, базирани на Android, включително телевизионни кутии, смартфони и други продукти, вероятно чрез компрометиране на веригата за доставки.

Миналата година Human Security идентифицира над 70 000 заразени устройства, с които се злоупотребява за различни видове измами и които могат да бъдат превърнати в жилищни проксита. Миналата седмица германската агенция за киберсигурност откри 30 000 бота BadBox след засичане на комуникацията със сървър за управление и контрол (C&C).

Сега Bitsight предупреждава за нова широкоразпространена инфекция на BadBox, включваща повече от 100 000 уникални IP адреса, свързани със смарт телевизори Yandex 4K QLED, като посочва, че за първи път се наблюдава комуникация на множество устройства от висок клас с Android със сървър BadBox C&C.

Като цяло фирмата за киберсигурност е наблюдавала повече от 160 000 уникални IP адреса, които ежедневно са комуникирали със сървъра, като 98% от трафика е идвал от смарт телевизори Yandex и смартфони Hisense T963.

„BadBox експлоатира устройствата за дейности като жилищно проксиране (използване на устройства с обратна връзка като изходни точки), дистанционно инсталиране на код, злоупотреба с акаунти и рекламни измами. Една от най-опасните му характеристики е възможността за инсталиране на допълнителен код/модули без съгласието на потребителя, което позволява на заплахите да разгръщат нови схеми“, казва Bitsight.

Според фирмата за киберсигурност излезлите от употреба инфекции на BadBox предполагат, че или производителите могат да бъдат замесени, позволявайки на отдалечените нападатели да инсталират зловреден код, или че инфекцията се извършва по време на етапите на разработване, производство, доставка и/или продажба.

„Не можем да определим дали тези вектори са взаимно изключващи се в случая с BadBox“, казва Bitsight, като посочва, че е изключително важно потребителите и предприятията да избират надеждни марки и партньори, за да запазят своите данни и устройства защитени.