Recentemente, l'Ufficio Federale per la Sicurezza dell'Informazione della Germania (BSI) ha annunciato di aver interrotto una vasta operazione malware chiamata BADBOX, che avrebbe infettato almeno 30.000 dispositivi connessi a Internet venduti in tutto il paese. Questa operazione è stata interrotta grazie a un'azione di "sinkholing", che ha permesso di bloccare le comunicazioni tra i dispositivi infetti e i server di comando e controllo, neutralizzando la minaccia. I dispositivi colpiti includono cornici digitali, lettori multimediali e streamer, oltre a telefoni e tablet, tutti caratterizzati dall'utilizzo di versioni obsolete di Android con malware preinstallato.

La minaccia BADBOX

La minaccia BADBOX era stata documentata per la prima volta dal team di ricerca di HUMAN's Satori Threat Intelligence nell'ottobre 2023. Si tratta di un complesso schema orchestrato da attori malevoli che sfruttano le vulnerabilità della catena di fornitura per installare il malware Triada su dispositivi Android a basso costo e di marchi sconosciuti. Una volta connessi a Internet, questi dispositivi compromessi possono raccogliere dati sensibili, come codici di autenticazione, e installare ulteriori malware.

Origine e impatto

L'operazione, che si ritiene abbia origine in Cina, include anche un botnet per frodi pubblicitarie chiamato PEACHPIT. Questo botnet è progettato per simulare traffico fraudolento su app Android e iOS popolari tramite i dispositivi infetti da BADBOX, generando impressioni pubblicitarie false vendute tramite pubblicità programmatica. HUMAN aveva precedentemente avvertito che chiunque poteva acquistare accidentalmente un dispositivo BADBOX online, attivando inconsapevolmente il malware e aprendo una porta sul retro per ulteriori attacchi.

Oltre al rischio di frode pubblicitaria, i dispositivi compromessi da BADBOX possono anche fungere da proxy residenziali, consentendo ad altri attori malevoli di instradare il proprio traffico Internet attraverso di essi, eludendo i sistemi di rilevamento. Questi dispositivi potrebbero inoltre essere utilizzati per creare account online su servizi come Gmail e WhatsApp. In risposta alla minaccia, il BSI ha ordinato ai provider Internet con più di 100.000 abbonati di reindirizzare il traffico verso un sinkhole e ha esortato i consumatori a scollegare immediatamente i dispositivi infetti dalla rete.

Importanza della sicurezza

La scoperta di BADBOX sottolinea l'importanza di garantire che i dispositivi connessi a Internet siano aggiornati con i più recenti sistemi di sicurezza e di stare attenti all'acquisto di dispositivi da fonti non verificate o sospette.