Human SecurityのSatori Researchチームによると、Badbox BotnetはBadboxマルウェアの新しいバリアントを使用して再浮上しており、100万個ものバックドードアンドロイドデバイスに影響を与えています。

BadboxマルウェアはAndroidデバイスをターゲットにしています

Badboxマルウェアの最初の発生は、2023年に発生しました。これは、研究者がAndroidを搭載したインターネット接続のテレビデバイス(Apple TV、Roku、Amazon Fire Sticksなどの人気モデルがPeachpitという名前の広大なAD-Fraudネットワークに参加したことを発見したときに発生しました。その最初のクラスターには、約74,000の感染デバイスが含まれていました。

Badbox 2.0は、Androidデバイス、特にAndroid Open Source Project(AOSP)を実行するハードウェアをターゲットにし続けています。このバリアントは、低コストのオフブランドスマートフォン、追加のインターネットに接続されたテレビボックス、カーサイズタブレット、デジタルプロジェクターで特定されています。

You Might Also Like
AI文学分析サイト「プロセクラフト」、大規模な反発を受け閉鎖
AI文学分析サイト「プロセクラフト」、大規模な反発を受け閉鎖
ゴールドマンサックスのCEOは、ビットコインの採用が予想よりも速く進んでいることを認めています
ゴールドマンサックスのCEOは、ビットコインの採用が予想よりも速く進んでいることを認めています
ダイソンのヘッドフォン: 街に新しいサウンドを
ダイソンのヘッドフォン: 街に新しいサウンドを

Human SecurityのCISOであるGavin Reidは、ボットネットのオペレーターが、安価なハードウェアを取得し、ブランド変更し、マルウェアをファームウェアまたは一般的に使用しているアプリに埋め込み、妥協した製品を販売することにより、サプライチェーンを操作することが多いと報告しました。研究者は、サードパーティのAndroidアプリストアで200を超える感染したアプリを特定しました。その多くは「邪悪な双子」です。

リードは、「ターゲットをターゲットにしたデバイスのタイプの増加、感染したデバイスの数、実施されるさまざまな種類の詐欺、およびスキームの複雑さの点で、2023年に見たBadbox 2.0スキームよりも大きく、はるかに悪い。」

マルウェアは、昨年の秋の検出以来、222か国と地域からネットワークトラフィックを生み出しており、その広大な範囲を示しています。ボットネットは、主にユーザーが表示されない隠された広告から利益を得ていますが、広告クリック詐欺も採用しています。

人間安全保障の脅威インテリジェンス担当副社長のリンゼイ・ケイは、オペレーターが不正な技術を隠していると説明した。合法的な広告ネットワークが、特定の領域からのビューまたはクリックの急増にフラグを立てた場合、疑いを引き起こします。したがって、世界中でさまざまなインターネットに接続されたデバイスに詐欺を偽装することにより、それらは検出を回避できます。

証拠はまた、マルウェアに感染したデバイスからパスワードを盗む機能があることを示唆しています。ボットネットはサービス拒否攻撃を促進する可能性がありますが、リードは、オペレーターが過度の注意を引くことを避けるために微妙な広告詐欺を好むと考えています。

Badbox 2.0ボットネットは、100万人近くの感染デバイスでピークに達しました。これは、人間の安全、Google、Trend Micro、および非営利のShadowserver Foundationの努力により、その後半分に減少しました。これらの組織は、不審なトラフィックをGoogleを監視して、感染したデバイスを指示するコマンドアンドコントロールサーバーを特定および無効にするために協力して取り組みました。

2024年12月、ドイツは30,000を超えるBadboxに感染したメディアデバイスを沈めて混乱を開始しましたが、その後すぐに190,000を超えるデバイスで構成される大きなボットネットが発見されました。

Human Securityは、Botnetの影響が最初に過小評価されていると評価し、Badbox 2.0は220か国以上で100万を超えるデバイスに感染していると伝えられています。その前身と同様に、この反復は、複数の中国のメーカーからの背景AOSPデバイスを悪用します。

マルウェアのバックドアは、製造中に組み込まれたり、最初のブーツでコマンドアンドコントロールサーバーからダウンロードしたり、気付いていないユーザーがサードパーティのアプリストアからインストールしたりすることができます。 Badboxの背後にある脅威関係者は、広範囲に協力しています。 Salestracker Group、Moyu Group、Lemon Group、およびLongtvの4つのグループが特定されています。

Human Securityは、「これは単一の脅威アクターによる攻撃ではありませんでした。これは、リソースを共有する脅威アクターのコレクションであり、共有インフラストラクチャをターゲットにしています。」ボットネットの運用と戦うために、AD詐欺の収益化防止措置が実施されており、不正スキームに関連するアカウントが無効にされました。

その影響を緩和する努力にもかかわらず、専門家は、オペレーターがネットワークを適応して再構築するため、混乱がボットネットを完全に終了する可能性は低いと警告しています。

ユーザーは、デバイスで見つかった場合、「余分な収入を得る」や「妊娠排卵計算機」などのアプリを削除し、Androidデバイスが悪意のあるアプリのダウンロードを防ぎ、有害なトラフィックをブロックするためのアクティブセキュリティソリューションで保護されていることを確認することをお勧めします。

Google Play Protectは、ユーザーに警告し、認定されたAndroidデバイスでBadbox 2.0関連の動作を示すアプリをブロックするように設計されています。

特集画像クレジット:Aytunçelebi/Ideogram

新しいAndroidマルウェアの発生の投稿は、TechBrieflyで最初に登場したよりも悪いです。

Source: 新しいAndroidマルウェアの発生はこれまで以上に悪いです

  Lenovo、PC および Motorola スマートフォン向けの Qira AI アシスタントを発表