Miliony wbudowanych Androidów i jedno zagrożenie. BADBOX 2.0 przekształca tanie urządzenia w narzędzia przestępców

Współczesne urządzenia z dostępem do internetu oferują coraz więcej funkcji, ale jednocześnie stają się podatne na nowe zagrożenia. Coraz częściej okazuje się, że potencjalne ryzyko nie wynika z zachowań użytkowników, lecz z samych konstrukcji sprzętów. Warto przyjrzeć się mechanizmom, które mogą wpływać na bezpieczeństwo domowych sieci, zwłaszcza w kontekście sprzętu niskobudżetowego, który zyskuje znaczną popularność wśród konsumentów.

Miliony tanich urządzeń z Androidem są już częścią botnetu BADBOX 2.0, oferując nieświadomie przestępcom proxy i zasoby do ataków.

Kampania AyySSHush. Nowy botnet atakuje routery ASUS poprzez CVE-2023-39780 i luki w uwierzytelnianiu

Złośliwe oprogramowanie BADBOX 2.0, będące ewolucją odkrytego w 2016 roku trojana Triada, stanowi poważne zagrożenie dla użytkowników tanich urządzeń z systemem Android, takich jak przystawki Smart TV, projektory czy systemy inforozrywki w pojazdach. FBI w swoim ostrzeżeniu wskazuje, że miliony takich urządzeń, głównie produkowanych w Chinach, są fabrycznie infekowane złośliwym oprogramowaniem lub ulegają mu podczas pobierania aplikacji z nieautoryzowanych źródeł. Mechanizm działania BADBOX 2.0 bazuje się na backdoorach umożliwiających cyberprzestępcom dostęp do domowych sieci. Wykorzystują oni podatności w systemie Android Open Source Project (AOSP), szczególnie w urządzeniach niespełniających standardów Google Play Protect. Ataki te obejmują dystrybucję malware, maskowanie nielegalnej komunikacji, a także inne nieautoryzowane działania, takie jak proxy dla operacji przestępczych. FBI opisuje możliwe oznaki aktywności botnetu BADBOX 2.0:

• Obecność podejrzanych sklepów z aplikacjami, z których pobierane są programy.
• Wymaganie wyłączenia funkcji Google Play Protect.
• Uniwersalne urządzenia do streamingu TV reklamowane jako odblokowane lub umożliwiające dostęp do darmowych treści.
• Urządzenia IoT oferowane przez nierozpoznawalne marki.
• Urządzenia z Androidem, które nie posiadają certyfikatu Play Protect.
• Niewyjaśniony lub podejrzany ruch sieciowy.

Globalna operacja przeciwko Lumma Stealer. ESET i Microsoft neutralizują jedno z najgroźniejszych narzędzi cyberprzestępców

Badania Human Security wskazują, że ponad milion urządzeń, w tym kilkanaście modeli telewizorów, jest już zainfekowanych. Problem BADBOX 2.0 wykracza poza pojedyncze urządzenia, zagrażając całej infrastrukturze IoT w domowych sieciach. W 2024 roku podjęto próbę neutralizacji botnetu, jednak jego nowa wersja szybko się odrodziła, wykorzystując luki w zabezpieczeniach starszych urządzeń, a także brak aktualizacji oprogramowania. Warto zauważyć, że większość zainfekowanych urządzeń nie otrzymuje patchy bezpieczeństwa, a to czyni je łatwym celem. Dodatkowe źródła, takie jak raporty EFF, wskazują, że producenci tanich urządzeń często pomijają podstawowe zabezpieczenia, aby obniżyć koszty. Sprzyja to rozprzestrzenianiu się złośliwego oprogramowania. Użytkownicy mogą zminimalizować ryzyko, wybierając urządzenia produkowane przez renomowanych producentów, jak również unikając nieoficjalnych sklepów z aplikacjami. Regularne skanowanie sieci domowej za pomocą narzędzi takich jak Wireshark może pomóc w wykrywaniu nietypowego ruchu sieciowego. Pytanie, które warto zadać, brzmi: czy wygoda korzystania z tanich urządzeń IoT jest warta ryzyka utraty prywatności, a także i bezpieczeństwa? Czy producenci powinni być prawnie zobowiązani do zapewnienia minimalnych standardów bezpieczeństwa? Te kwestie wymagają szerszej dyskusji w kontekście rosnącej liczby urządzeń sprowadzanych z Chin i podłączanych do internetu.