Федералното бюро за разследване (ФБР) издаде тревожно предупреждение относно мащабна киберзаплаха – злонамерената кампания BADBOX 2.0, която вече е компрометирала над 1 милион устройства, свързани с домашни интернет мрежи по целия свят. Заразените устройства се използват за изграждане на огромна ботмрежа и функционират като резидентни проксита, прикривайки престъпна дейност в мрежата.

Какво представлява BADBOX 2.0?

BADBOX 2.0 е нова версия на известния BADBOX малуер, открит за пръв път през 2023 г. Новата му версия е значително усъвършенствана и масово се открива в смарт телевизори, ТВ боксове, проектори, таблети и други IoT (Интернет на нещата) устройства, базирани на Android и произведени в континентален Китай.

Заразените устройства или се доставят с предварително инсталиран малуер, или се компрометират след покупката чрез злонамерени фърмуер ъпдейти или при инсталиране на приложения от неофициални магазини, включително и Google Play.

Как работи ботмрежата?

След заразяване, устройствата се свързват с команден и контролен сървър (C2), откъдето получават инструкции. Основните злоупотреби включват:

• Прокси услуги – трафик от престъпници се препраща през IP адресите на заразените потребители.

• Ad fraud – зареждане и кликване на реклами на заден план, с цел измама и печалба.

• Credential stuffing атаки – използване на IP адреси на жертвите за масови опити за достъп до чужди акаунти със откраднати данни.

Според доклада на HUMAN Satori, най-засегнатите държави са:

• Бразилия – 37,6%

• САЩ – 18,2%

• Мексико – 6,3%

• Аржентина – 5,3%

Общо са открити инфекции в 222 държави и територии.

Кампаниите по прекъсване на ботмрежата

През 2024 г. германската кибер агенция временно блокира комуникацията на BADBOX с C2 сървърите чрез т.нар. „sinkholing“, но седмица по-късно изследователите откриват, че над 192 000 устройства са отново заразени – този път включително по-познати марки като Yandex и Hisense.

През 2025 г. HUMAN, съвместно с Google, Trend Micro и други партньори, извърши нова операция по прекъсване на над 500 000 устройства, но разпространението продължава. Причината – потребителите несъзнателно купуват евтини и несертифицирани устройства, които вече са компрометирани.

Симптоми и засегнати устройства

Признаци за инфекция включват:

• Подозрителни магазини за приложения на устройството

• Деактивиран Google Play Protect

• Рекламирани като „отключени“ ТВ боксове или такива с безплатен достъп до съдържание

• Неизвестни или евтини марки

Сред идентифицираните модели са:
X96Q, T95, KM9PRO, MX10PRO, Smart TV, iSinbox, Xtv77, AV-M9, MBOX, TXCZ, и десетки други.

Препоръки от ФБР

За да се предпазят потребителите, ФБР препоръчва:

• Редовен преглед на свързаните IoT устройства в домашната мрежа

• Да не се изтеглят приложения от неофициални магазини

• Да се следи входящият и изходящият интернет трафик

• Да се поддържат всички устройства актуализирани

• При съмнение – устройството да се изолира от мрежата и да се ограничи достъпът му до интернет

Заключение

BADBOX 2.0 е поредното доказателство, че евтините технологии крият скъпи рискове. Макар да изглеждат като изгодни оферти, такива устройства често идват със скрити „функции“, които превръщат домовете ни в неволни участници в киберпрестъпността. Повишената информираност и отговорното потребление са ключови за опазване на дигиталната ни сигурност.