Ponovna pojava zlonamjerne mreže BadBox 2.0 donosi ozbiljne prijetnje korisnicima diljem svijeta, posebice onima koji koriste jeftine i neregulirane pametne uređaje. Kako IoT (Internet of Things) tehnologija postaje sve prisutnija u kućanstvima, raste i potreba za sviješću o sigurnosnim rizicima koje takvi uređaji nose sa sobom.
FBI je nedavno izdao upozorenje zbog ponovnog aktiviranja botneta BadBox, koji sada u svojoj verziji 2.0 predstavlja još sofisticiraniju prijetnju. Ova mreža zaraženih IoT uređaja koristi se za infiltraciju u kućne mreže diljem svijeta, a infekcije su zabilježene u više od 220 zemalja i teritorija. Najčešće pogođeni uređaji uključuju jeftine TV boxove, digitalne foto-okvire i razne druge pametne uređaje koji nisu certificirani od strane Googlea.
Izvorna verzija BadBoxa otkrivena je 2023. godine kada su stručnjaci pronašli da se malware nalazi već u tvorničkom firmwareu određenih Android uređaja, često proizvedenih u Kini i prodavanih globalno. Iako je početna kampanja djelomično suzbijena tijekom 2024. uz pomoć sigurnosnih firmi, tehnoloških kompanija i međunarodnih vlasti, uključujući Google i njemačke istražitelje, prijetnja se ubrzo razvila. Nova verzija BadBoxa 2.0 prilagodila se zaštitnim mjerama i donosi još opasniju strategiju.
Za razliku od prethodnika koji su bili zaraženi u tvornici, BadBox 2.0 može kompromitirati uređaj i nakon što stigne korisniku, osobito ako se instaliraju aplikacije izvan službenih trgovina. Malware se može skrivati u firmwareu ili aktivirati prilikom početnog postavljanja uređaja. Identificirane su četiri glavne grupe koje stoje iza ove kampanje – SalesTracker, MoYu, Lemon i LongTV – od kojih svaka pokriva specifičan segment operacije, od distribucije zlonamjernog softvera do eksploatacije ukradenih podataka.
Jednom kad se uređaj zarazi, postaje dio globalne mreže botova koji se koriste kao rezidencijalni proxy serveri. To omogućuje cyber kriminalcima da skrivaju svoj pravi identitet dok izvode aktivnosti poput oglasne prijevare, DDoS napada, krađe računa putem credential stuffing metode, presretanja jednokratnih lozinki i širenja dodatnog zlonamjernog softvera. Malware može izvršavati proizvoljne naredbe, što ga čini iznimno fleksibilnim oruđem za razne kriminalne ciljeve.
BadBox je tehnološki nasljednik Trojanca Triada, otkrivenog još 2016. godine. Triada je bio poznat po dubokom ukorjenjivanju u sustave i izbjegavanju detekcije, a upravo ta evolucija dovela je do današnjih sofisticiranih napada kroz opskrbne lance.
Detekcija BadBox 2.0 infekcije je iznimno zahtjevna. Malware radi tiho i gotovo neprimjetno, a znakovi zaraze mogu uključivati pojavu nepoznatih trgovina aplikacijama, pregrijavanje uređaja ili neobične promjene mrežnih postavki. FBI posebno upozorava na uređaje koji nude „besplatan pristup premium sadržaju“ ili se oglašavaju kao „otključani“.
Ako se sumnja na infekciju, preporučuje se odmah isključiti uređaj s interneta, pregledati sve povezane uređaje u mreži, ukloniti neautorizirane aplikacije te po potrebi izvršiti tvornički reset ili zamijeniti uređaj.
Kako biste smanjili rizik, stručnjaci savjetuju:
- Kupujte uređaje certificirane od strane Google Play Protecta.
- Izbjegavajte jeftine, neprovjerene ili „no-name“ uređaje.
- Redovito ažurirajte firmware i aplikacije.
- Pratite promet u kućnoj mreži kako biste otkrili neuobičajene aktivnosti.
- Informirajte se putem sigurnosnih biltena o kompromitiranim modelima i indikatorima infekcije.
