Des chercheurs de l'équipe de renseignement Satori Threat de Human ont travaillé aux côtés de Google, Trend Micro, la Shadowserver Foundation et d'autres pour perturber le plus grand botnet d'appareils télévisés connectés infectés – Badbox 2.0.

Un botnet d'appareils Android hors marque infectés, le logiciel malveillant Badbox est généralement préchargé sur des boîtes de streaming TV, des téléviseurs intelligents, des tablettes, des projecteurs numériques ou des smartphones. Dans ce cas, les acteurs de la menace ont également exploité des centaines de versions d'applications populaires pour servir de système de livraison de porte dérobée alternatif. Heureusement, les chercheurs de l'homme ont pu identifier, puis avoir 24 applications malveillantes «twin maléfique» diffusant ce logiciel malveillant supprimé du Google Play Store.

Au total, ils ont pu perturber le botnet sur plus de 500 000 appareils Android, coulent efficacement les communications de holing aux domaines malveillants utilisés par les pirates derrière cette campagne. Les chercheurs ont repris des milliers de ces domaines Badbox 2.0 pour empêcher les appareils infectés de communiquer avec les serveurs de commandement et de contrôle (C2) mis en place par ces cybercriminels qui leur permet également de surveiller les connexions et de recueillir des données sur le botnet.

Tu aimes peut-être

  • Des millions de téléviseurs Android ont détourné un botnet massif – comment voir si le vôtre est en danger

  • Les pirates utilisent l'Amazon Appstore pour répandre les logiciels malveillants – supprimez cette application malveillante maintenant

Qu'est-ce que Badbox 2.0?

Une boîte de télévision Android à l'aspect générique

Botnet basé sur des logiciels malveillants, Badbox 2.0 utilise des appareils Android hors marque à moindre coût pour commettre des actes malveillants, y compris la fraude. Le malware Badbox d'origine a infecté 74 000 appareils et a été perturbé ou rendu dormant en octobre 2023.

Cette nouvelle version, Badbox 2.0, a infecté plus d'un million d'appareils selon Human. La majorité des infections semblent axées sur le Brésil (37,6%), suivie des États-Unis (18,2%), du Mexique (6,3%) et de l'Argentine (5,3%).

Les appareils infectés qui se composent de boîtes de streaming Android TV, de téléviseurs intelligents, de smartphones, de tablettes et de projecteurs numériques, entre autres, arrivent souvent avec des logiciels malveillants préchargés directement du fabricant. Ou ils sont infectés et ajoutés au botnet via des applications malveillantes «maléfique» ou des téléchargements de firmware. L'humain a souligné dans un article de blog que «les appareils infectés sont des appareils de projet Open Source Android, pas des appareils Android TV OS ou Play Protect Android Appareils certifiés.»

Une fois installé, le malware Badbox transforme les appareils infectés en proxys résidentiels. Ils se connectent ensuite régulièrement aux serveurs C2 contrôlés par l'attaquant pour recevoir de nouvelles commandes et renvoyer des données volées comme des mots de passe. Ces commandes peuvent être utilisées pour lancer des attaques de bourrage d'identification, créer de faux comptes, de fausses impressions d'annonces ou pour rediriger les utilisateurs vers des domaines de basse qualité pour une opération de distribution de trafic frauduleuse.

Comment rester à l'abri de Badbox 2.0

Un routeur Wi-Fi à côté d'un téléphone avec un symbole de verrouillage à l'écran

Google a déjà supprimé les applications malveillantes découvertes par les chercheurs de l'humain du Play Store et ajouté une règle d'application de protection Play Protect pour avertir les utilisateurs ainsi que pour bloquer l'installation d'applications associées à Badbox 2.0 sur tous les appareils Android certifiés.

Cependant, comme le géant de la recherche ne peut pas désinfecter les appareils Android non play, Badbox ne peut pas être entièrement éliminé. Une liste des appareils connue pour être affectée par la version actuelle de Badbox peut être trouvée en tout le plus tôt du rapport de l'homme lié ci-dessus. Si vous avez un appareil sur cette liste, il est peu probable que vous puissiez le mettre à jour avec un micrologiciel propre. Votre option la plus sécurisée est de déconnecter cet appareil d'Internet, ou mieux encore, de le remplacer par un appareil certifié à partir d'une marque réputée.

« Si un appareil n'est pas une lecture de protection certifiée, Google n'a pas d'enregistrement des résultats des tests de sécurité et de compatibilité. » Un porte-parole de Google a expliqué dans une déclaration à BleepingComputer. « Play Protect Les appareils Android certifiés subissent des tests approfondis pour garantir la qualité et la sécurité des utilisateurs. Les utilisateurs doivent s'assurer que Google Play Protect, la protection des logiciels malveillants d'Android qui est par défaut sur les appareils avec Google Play Services, est activé. »

Les consommateurs qui souhaitent rester en sécurité devraient éviter d'acheter des appareils Android basés sur AOSP comme des boîtes de télévision hors marque qui n'ont pas l'assistance officielle des services Google Play. De plus, assurez-vous toujours de garder votre firmware à jour et d'installer les derniers correctifs de sécurité dès qu'ils sont disponibles sur les meilleurs appareils de streaming que vous utilisez actuellement.

Vous souhaitez également éviter les applications de téléchargement de touche et vous en tenir uniquement à l'utilisation de celles du Google Play Store et d'autres magasins d'applications officielles. De même, les appareils TV Android peuvent avoir leurs fonctionnalités d'accès à distance désactivées lorsqu'elles ne sont pas utilisées, ce qui les retire hors ligne. Cela peut fournir une couche de sécurité supplémentaire pour protéger vos appareils et vos données s'ils font inconsciemment partie d'un botnet

Il pourrait également être utile d'investir dans l'un des meilleurs routeurs Wi-Fi ou les meilleurs systèmes Wi-Fi à maillage avec un logiciel de sécurité intégré. Bien que le meilleur logiciel antivirus puisse protéger votre PC des logiciels malveillants, des solutions de sécurité à l'échelle du réseau comme l'armure de Netgear ou HomeShiel de TP-Link protègent tous les appareils connectés à votre réseau domestique contre les virus et autres menaces. Si vous voulez notre recommandation pour la meilleure boîte Android TV, nous aimons toujours vraiment le Shield Nvidia même s'il a maintenant plusieurs années à ce stade.