BADBOX 2.0 nimmt Verbrauchergeräte ins Visier und nutzt dabei verschiedene Betrugsmethoden

Das Satori Threat Intelligence and Research-Team von HUMAN hat in Zusammenarbeit mit Google, Trend Micro, Shadowserver und weiteren Partnern eine umfassende Betrugsoperation namens „BADBOX 2.0“ aufgedeckt und teilweise unterbunden. Diese Operation stellt eine erhebliche Weiterentwicklung und Modifikation der ursprünglichen BADBOX-Kampagne dar, die das Satori-Team im Herbst 2023 bekannt gemacht hatte. BADBOX 2.0 gilt als das bislang größte Botnetz aus infizierten vernetzten Fernsehgeräten (CTV), das jemals entdeckt wurde. Zudem haben Satori-Forscher stichhaltige Hinweise darauf gefunden, dass die Akteure hinter der ursprünglichen BADBOX auch für BADBOX 2.0 verantwortlich sind.

BADBOX 2.0 setzt wie sein Vorgänger auf Backdoors in preisgünstigen Verbrauchergeräten, die es Angreifern ermöglichen, Betrugsmodule aus der Ferne zu laden. Diese infizierten Geräte kommunizieren mit Command-and-Control-Servern (C2), die von verschiedenen, aber zusammenarbeitenden Bedrohungsakteuren betrieben werden. Die Angreifer hinter BADBOX und BADBOX 2.0 kompromittieren Software- und Hardware-Lieferketten oder verbreiten vermeintlich harmlose Anwendungen mit versteckter „Loader“-Funktionalität, um Geräte und Apps mit der Backdoor zu infizieren.

Nach der Installation eines Betrugsmoduls können betroffene Geräte Teil eines Botnetzes werden und für verschiedene Angriffe missbraucht werden, darunter:

• Automatisierter Anzeigenbetrug

• Klickbetrug

• Missbrauch von Proxy-Diensten in Haushalten, wodurch weitere Angriffe ermöglicht werden:

  • Kontoübernahmen (ATO)

  • Erstellung gefälschter Konten

  • DDoS-Angriffe

  • Verbreitung von Malware

  • Diebstahl von Einmalpasswörtern (OTP)

Diese Methoden machen BADBOX 2.0 zu einer ernstzunehmenden Bedrohung für Verbraucher und Unternehmen.

Dieses Programm betraf über eine Million Verbrauchergeräte. Zu den mit dem BADBOX 2.0-Vorgang verbundenen Geräten zählten kostengünstige, nicht zertifizierte Tablets von unbekannten Herstellern, Connected-TV-Boxen (CTV), digitale Projektoren und weitere Elektronikprodukte. Die infizierten Geräte basieren auf dem Android Open Source Project, jedoch nicht auf Android TV OS oder Play Protect-zertifizierten Android-Versionen. Alle diese Geräte werden auf dem chinesischen Festland produziert und weltweit vertrieben. Tatsächlich registrierte HUMAN BADBOX 2.0-bezogenen Datenverkehr aus 222 Ländern und Regionen. Eine Liste der betroffenen Modelle ist in den Indicators of Compromise weiter unten aufgeführt.

BADBOX 2.0: Gruppen von Bedrohungsakteuren

Während ihrer Untersuchung identifizierten die Satori-Forscher vier Gruppen von Bedrohungsakteuren, die an BADBOX 2.0 beteiligt waren. Jede dieser Gruppen übernahm eine spezifische Rolle innerhalb des Gesamtplans, wobei Überschneidungen und mögliche Zusammenarbeit zwischen ihnen durch die gemeinsam genutzte Infrastruktur erkennbar sind. Die Forschung von Satori zur sich weiterentwickelnden BADBOX/BADBOX 2.0-Operationsfamilie wird fortgesetzt, sodass möglicherweise weitere Bedrohungsakteursgruppen entdeckt werden.

Nach Schätzungen von Satori-Forschern sind im Januar 2025 weltweit mehr als 1 Million Geräte mit BADBOX 2.0 infiziert. Mehr als ein Drittel der von der Human Defense Platform beobachteten BADBOX 2.0-infizierten Geräte befinden sich in Brasilien, wo preiswerte Android-Open-Source-Projekt-Geräte besonders beliebt sind. Weitere Länder mit einer signifikanten Anzahl sind die Vereinigten Staaten, Mexiko, Argentinien und Kolumbien. Insgesamt beobachtete HUMAN BADBOX 2.0-bezogenen Datenverkehr aus 222 Ländern und Gebieten weltweit:

(Bild: Humansecurity)

BADBOX 2.0: Betrugsszenarien ermöglicht

Das vielleicht charakteristischste Merkmal von BADBOX 2.0 – und zuvor von BADBOX – ist die Vielzahl von Betrugsmöglichkeiten, die die Operation ermöglicht. Forscher beobachteten vier verschiedene Betrugsmodelle, die durch den anhaltenden privilegierten Zugriff über die BB2DOOR-Backdoor ermöglicht wurden. Dazu gehörten der Verkauf von Proxy-Diensten für Privathaushalte auf der Grundlage von Backdoor-Geräten (sowie nachgelagerte Angriffe durch diejenigen, die die Proxy-Dienste gekauft haben), programmatischer Anzeigenbetrug und Klickbetrug.

Quelle: https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/

Bild/Quelle: https://depositphotos.com/de/home.html