Aggiornamenti recenti Marzo 21st, 2025 4:01 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Il ransomware Medusa usa un driver malevolo per bloccare le difese EDR
- Penetration testing, una volta ogni tanto non basta più: serve un approccio continuativo
- MirrorFace ha colpito un ente diplomatico europeo
- Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla pubblicazione
- ClickFix: torna la campagna di phishing che colpisce il settore turistico
BadBox è stato smantellato (di nuovo): colpiti oltre 1 milione di dispositivi
Dopo essere stata smantellata nel 2023, la botnet BadBox è tornata a colpire i dispositivi Android mietendo oltre 1 milione di vittime. La nuova campagna, chiamata BadBox 2.0, è stata nuovamente interrotta dal team di Satori Threat Intelligence di HUMAN in collaborazione con Google, Trend Micro, Shadowserver e altri partner.
Questa volta i dispositivi colpiti sono stati, tra gli altri, tablet, TV box, proiettori digitali connessi, tutti non ufficiali, low-cost e prodotti in Cina. Stando a quanto riportato dai ricercatori, la botnet era estesa a 222 territori in tutto il mondo.
I dispositivi colpiti avevano una backdoor che consentiva agli attaccanti di accedere al device ed eseguire diversi tipi di frode, tra i quali vendere l’indirizzo IP senza il permesso dell’utente, usare applicazioni built-in per renderizzare pubblicità nascoste, aprire finestre nascoste di browser per navigare su un sito web di giochi di proprietà dei cybercriminali e cliccare su un banner pubblicitario senza che l’utente se ne accorgesse.
Questi schemi di attacco sono stati tra i più diffusi, ma non sono gli unici: grazie alla backdoor, gli attaccanti potevano caricare qualsiasi payload malevolo sul dispositivo tramite un file APK o eseguire codice arbitrario.
La backdoor veniva distribuita in tre modi: pre-installata sul dispositivo; caricata da un server C2 contattato all’avvio del device; infine, scaricata da marketplace di terze parti da utenti ignari del pericolo.
L’ecosistema di BadBox 2.0
Il team di HUMAN ha individuato BadBox 2.0 mentre analizzava l’infrastruttura rimasta della precedente botnet. Il malware era stato individuato per la prima volta nel novembre 2022 ed era stato smantellato nell’aprile 2023; un anno dopo, sempre ad aprile, i ricercatori di HUMAN hanno scoperto nuovi server C2 sotto il controllo degli stessi attaccanti di BadBox.
I ricercatori hanno individuato quattro gruppi di cyberattaccanti coinvolti nell’operazione, ognuno che si occupava di aspetti diversi della botnet. Il gruppo SalesTracker gestiva un modulo per monitorare i dispositivi infetti. Secondo i ricercatori, è il team responsabile delle due operazioni.
MoYu si p occupato di sviluppare la backdoor, coordinandone le varianti e i dispositivi su cui installarla. Questo gruppo ha gestito una botnet minore composta da un sotto-insieme di dispositivi infetti e ha eseguito due delle frodi individuate dai ricercatori.
Il gruppo Lemon è legato ai servizi di residential proxy creati dall’operazione e ha gestito la campagna fraudolenta del sito web di videogiochi; infine, LongTv, brand gestito da una compagnia malesiana produttrice di TV connesse Android, è la responsabile di una campagna basata su banner pubblicitari nascosti, grazie a un malware distribuito tramite app infette.
“Questi gruppi sono collegati tra loro attraverso un’infrastruttura condivisa (server C2 in comune) e legami commerciali storici e attuali” ha spiegato il team di HUMAN. “Forse l’aspetto più importante della storia di BadBox 2.0 è il numero di gruppi cybercriminali eterogenei che sono stati coinvolti. Non si è trattato di un attacco da parte di un singolo gruppo, ma di un insieme di team che condividevano le risorse; e non solo condividevano le infrastrutture da cui sostenere l’attacco, ma condividevano anche gli obiettivi. Si è trattato di una sorta di attacco “tutti per uno, uno per tutti”, una versione “dark mirror” del Human Collective“.
Più di un terzo dei dispositivi infetti si trovano in Brasile: qui i device low-cost con sistema operativo Android Open Source Project sono particolarmente diffusi. A seguire troviamo gli Stati Uniti, il Messico, l’Argentina e la Colombia.
La botnet è stata smantellata solo parzialmente. “Anche se riusciamo a identificare i gruppi di cybercriminali responsabili dei diversi componenti dell’operazione, smantellare completamente la botnet è difficile poiché la supply chain dei dispositivi è ancora intatta” ha spiegato HUMAN. Google ha eliminato gli account publisher legati ai cybercriminali, impedendogli di monetizzare sulla botnet, ma è altamente probabile che il gruppo riadatti le proprie operazioni per colpire di nuovo.
Condividi l'articolo
Fortinet estende il suo Academic Partner Program per colmare il divario di conoscenze di cybersecurity
Indagine Zscaler: le aziende devono investire sulla resilienza informatica
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account... -
Indagine Zscaler: le aziende devono investire sulla... Le aziende temono gli attacchi informatici e la loro... -
Sul dark web ci sono oltre 2 milioni di carte di credito Secondo una recente analisi di Kaspersky, sul dark web sono...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Il ransomware Medusa usa un driver malevolo per bloccare le... I ricercatori di Security Labs di Elastic hanno analizzato... -
MirrorFace ha colpito un ente diplomatico europeo MirrorFace, gruppo APT cinese allineato al governo, ha... -
Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla... Un grave bug che colpisce Apache Tomcat è sfruttato... -
ClickFix: torna la campagna di phishing che colpisce il... ClickFix è tornato alla carica: dopo essere apparsa per... -
CERT-AGID 8-14 marzo: contrastata una campagna malspam con... Nell’ultima settimana il CERT-AGID ha individuato 61...
Ransomware: la serie
No posts found.
