Un milione di dispositivi Android (tra cui box TV, tablet, proiettori e sistemi di infotainment per auto) è stato compromesso da una rete di malware sofisticata che li trasforma in strumenti per frodi pubblicitarie e attività illecite online. Tutto questo avviene nell'ombra, mentre i proprietari rimangono completamente ignari che i loro apparecchi vengono sfruttati come nodi di una vasta botnet criminale. La campagna malevola, denominata Badbox 2.0, rappresenta un'evoluzione ancora più insidiosa rispetto alla precedente versione scoperta nel 2023.
Il lato oscuro dei dispositivi low-cost
La società di cybersicurezza Human Security ha condiviso in esclusiva con WIRED i risultati di una ricerca che rivela come questa nuova ondata di attacchi abbia cambiato radicalmente tattica. A differenza della versione originale di Badbox, che si concentrava sull'installazione di firmware compromesso prima che i dispositivi arrivassero ai consumatori, Badbox 2.0 utilizza tecniche più tradizionali di diffusione malware a livello software.
"Tutto questo accade all'insaputa dei poveri utenti che hanno acquistato il dispositivo solo per guardare Netflix o altro," spiega Gavin Reid, Chief Information Security Officer di Human. "Le frodi pubblicitarie, incluse quelle per clic, avvengono tutte dietro le quinte, ma il modo principale in cui monetizzano il milione di dispositivi è rivendendo servizi proxy. Le vittime non sanno di essere utilizzate come proxy, non hanno mai acconsentito a questo, ma vengono sfruttate per tale scopo."
La maggior parte dei dispositivi infetti si trova in Sud America, particolarmente in Brasile. I prodotti colpiti spesso utilizzano nomi generici e non sono realizzati da marchi noti. Le famiglie di dispositivi più colpite sono identificate come "TV98" e "X96", basati sul codice open source di Android ma non parte dell'ecosistema protetto di Google.
Un ecosistema criminale ben organizzato
Secondo i ricercatori, dietro Badbox 2.0 non ci sarebbe un singolo attore ma un ecosistema più ampio di gruppi di frode collegati tra loro. Ogni gruppo utilizza proprie versioni del backdoor e moduli malware, distribuendo il software in diversi modi. In alcuni casi, le app malevole sono preinstallate sui dispositivi compromessi, ma più spesso gli attaccanti ingannano gli utenti inducendoli a installare app compromesse senza saperlo.
Una tecnica particolarmente insidiosa consiste nella creazione di app gemelle maligne. Gli hacker sviluppano un'app benigna, la pubblicano nel Play Store di Google per dimostrare che è stata verificata, e poi inducono gli utenti a scaricare versioni quasi identiche dell'app che però non sono ospitate negli store ufficiali e contengono codice malevolo. I ricercatori hanno identificato almeno 24 casi di queste "evil twin", permettendo agli attaccanti di eseguire frodi pubblicitarie nelle versioni Google Play delle loro app e distribuire malware nelle app contraffatte.
Lindsay Kaye, vicepresidente dell'intelligence sulle minacce di Human, spiega: "Abbiamo individuato quattro diversi tipi di moduli di frode: due per frodi pubblicitarie, uno per clic falsi e uno per la rete proxy residenziale. Ma il sistema è espandibile. Si può immaginare come, se il tempo fosse continuato e avessero potuto sviluppare più moduli e creare nuove relazioni, ci sarebbe stata l'opportunità di aggiungerne altri."
Le radici cinesi dell'operazione
Trend Micro, che ha collaborato con Human sull'indagine Badbox 2.0, ha focalizzato la sua attenzione sugli attori dietro queste attività. "La scala dell'operazione è enorme," afferma Fyodor Yarochkin, ricercatore senior di Trend Micro. "Ci sono facilmente fino a un milione di dispositivi online per qualsiasi gruppo coinvolto, e questo è solo il numero di dispositivi attualmente connessi alla loro piattaforma. Contando tutti i dispositivi che probabilmente hanno il loro payload, il numero potrebbe superare diversi milioni."
Yarochkin aggiunge che molti dei gruppi coinvolti sembrano avere collegamenti con aziende cinesi di marketing e pubblicità che operano in zone grigie della legalità. Più di un decennio fa, in Cina, ci furono diversi casi legali contro aziende che avevano installato plugin "silenziosi" sui dispositivi e li utilizzavano per attività apparentemente fraudolente.
"Le aziende che sono sopravvissute a quell'era del 2015 sono quelle che si sono adattate," spiega Yarochkin. Le sue indagini hanno identificato diverse "entità commerciali" in Cina che sembrano essere collegate ad alcuni dei gruppi coinvolti in Badbox 2.0, con collegamenti sia economici che tecnici. "Abbiamo identificato i loro indirizzi, abbiamo visto alcune fotografie dei loro uffici, hanno account di alcuni dipendenti su LinkedIn," afferma.
Contromisure e protezione
Human, Trend Micro e Google hanno collaborato con il gruppo di sicurezza internet Shadow Server per neutralizzare la maggior parte dell'infrastruttura Badbox 2.0, attraverso una tecnica di "sinkholing" che essenzialmente indirizza il traffico della botnet verso un vuoto. Tuttavia, i ricercatori avvertono che, dopo che i truffatori hanno cambiato tattica in seguito alle rivelazioni sullo schema originale di Badbox, è improbabile che l'esposizione di Badbox 2.0 ponga fine permanentemente a queste attività.
Il sistema di frodi pubblicitarie è stato parzialmente smantellato grazie alla collaborazione con Google, che ha interrotto gli account degli editori associati alle truffe e bloccato la loro capacità di generare entrate attraverso l'ecosistema pubblicitario di Google. "Attacchi malevoli come quello descritto in questo rapporto sono espressamente vietati sulle nostre piattaforme," ha dichiarato il portavoce di Google Nate Funkhouser in una dichiarazione a WIRED.
Per i consumatori, il consiglio è chiaro e riassunto efficacemente da Yarochkin di Trend Micro: "Come consumatore, dovresti tenere a mente che se il dispositivo è troppo economico, dovresti essere preparato al fatto che potrebbero esserci sorprese nascoste nel dispositivo. Non esiste formaggio gratis, a meno che il formaggio non sia in una trappola per topi."