Il mondo della sicurezza informatica è nuovamente in allerta a causa della scoperta di una versione aggiornata di un massiccio schema di frode pubblicitaria e proxy residenziale noto come BADBOX 2.0. Questa operazione complessa e vasta è stata rivelata grazie a un'analisi congiunta condotta dal team HUMAN Satori Threat Intelligence, in collaborazione con Google, Trend Micro, Shadowserver e altri partner. BADBOX 2.0 è stata descritta come la più grande botnet di dispositivi TV connessi mai scoperta, coinvolgendo almeno quattro diversi attori della minaccia: il SalesTracker Group, il MoYu Group, il Lemon Group e LongTV.

Il processo fraudolento inizia con i backdoor installati su dispositivi di consumo a basso costo, che consentono agli attori della minaccia di caricare moduli di frode da remoto. Questi dispositivi comunicano con server di comando e controllo gestiti da attori della minaccia distinti ma cooperativi. Gli attori sfruttano metodi che vanno dalle compromissioni della catena di fornitura dell'hardware ai marketplace di terze parti, distribuendo applicazioni apparentemente innocue che contengono funzionalità di "loader" per infettare i dispositivi.

Il backdoor trasforma i dispositivi infetti in parte di una botnet più grande, utilizzata per frodi pubblicitarie programmatiche, frodi sui clic e servizi proxy residenziali illeciti. Tra le attività illecite, troviamo la generazione di entrate pubblicitarie false tramite annunci nascosti, la navigazione verso domini di bassa qualità e il clic sugli annunci per guadagni finanziari. Inoltre, il traffico viene instradato attraverso i dispositivi compromessi, e la rete viene utilizzata per il takeover degli account, la creazione di account falsi, la distribuzione di malware e attacchi DDoS.

La botnet BADBOX 2.0 ha infettato circa un milione di dispositivi, principalmente tablet Android economici, box TV connessi, proiettori digitali e sistemi di infotainment per auto, con una concentrazione delle infezioni in Brasile, Stati Uniti, Messico e Argentina. Dopo la scoperta di BADBOX 2.0, l'operazione è stata parzialmente interrotta per la seconda volta in tre mesi grazie al sinkhole di alcuni domini utilizzati per la comunicazione con i dispositivi infetti. Google ha anche rimosso un set di 24 app dal Play Store che distribuivano il malware.

Il cuore dell'operazione è un malware Android noto come Triada, soprannominato BB2DOOR, propagato attraverso componenti pre-installati, scaricati da server remoti al primo avvio o tramite versioni trojanizzate di app popolari. Il gruppo MoYu è responsabile della sua diffusione, mentre altri gruppi come SalesTracker, Lemon Group e LongTV gestiscono altri aspetti dello schema.

L'ultima iterazione di BADBOX rappresenta un'evoluzione significativa, con attacchi che si basano su app infette provenienti da app store di terze parti e una versione più sofisticata del malware che modifica le librerie Android legittime per stabilire la persistenza. La scoperta di BADBOX 2.0 sottolinea la natura pericolosa di queste operazioni, poiché i dispositivi infetti possono essere utilizzati per qualsiasi attacco informatico sviluppato dagli attori della minaccia.