Più di 1 Milione di Dispositivi Android Compromessi da un Backdoor Nascosto

Un team di ricercatori di cybersecurity ha scoperto e parzialmente interrotto un’operazione di frode su larga scala chiamata BADBOX 2.0, che coinvolgeva una botnet di oltre un milione di dispositivi basati su Android infetti.

L’operazione, un’evoluzione della campagna BADBOX originale esposta nel 2023, si basava su backdoor pre-installate su dispositivi di consumo a basso costo e non certificati per facilitare le attività dei cybercriminali.

L’indagine, condotta dal team Satori Threat Intelligence and Research di HUMAN in collaborazione con Google, Trend Micro, Shadowserver e altri partner, ha rivelato prove concrete che collegano i responsabili di BADBOX all’espansione dello schema BADBOX 2.0.

Questo schema si basa sull’operazione BADBOX originale rivelata nel 2023 e rappresenta la più vasta botnet di dispositivi TV collegati (CTV) mai identificata, compromettendo oltre un milione di dispositivi Android a basso costo e non certificati in tutto il mondo.

BADBOX 2.0 sfrutta le backdoor nei dispositivi elettronici per consumatori come tablet di marche sconosciute, scatole CTV e proiettori digitali per implementare moduli di frode da remoto. Questi dispositivi si collegano a server di comando e controllo (C2) gestiti da diversi gruppi di cybercriminali.

L’infezione si diffonde attraverso catene di fornitura compromesse, malware preinstallato o download di app di terze parti, consentendo agli aggressori di prendere il controllo dei dispositivi degli utenti ignari.

Una volta infettati, questi dispositivi diventano parte di un vasto botnet utilizzato per attività fraudolente. Gli aggressori li utilizzano per la frode pubblicitaria, eseguendo annunci nascosti e simulando l’interazione, la frode dei click indirizzando il traffico verso domini falsi, e la navigazione automatizzata per gonfiare il traffico del sito web.

Il botnet consente anche ai cybercriminali di vendere l’accesso agli indirizzi IP dei dispositivi infetti per i servizi di proxy residenziali, facilitando la presa di controllo dei conti, la creazione di falsi account e l’elusione dei sistemi di autenticazione.

Inoltre, i dispositivi compromessi vengono utilizzati in attacchi DDoS, distribuzione di malware e furto di password monouso (OTP), permettendo agli aggressori di dirottare gli account degli utenti.

Il malware che alimenta BADBOX 2.0 manipola il comportamento dell’utente e le metriche di coinvolgimento attraverso annunci nascosti e navigazione automatizzata, generando introiti pubblicitari fraudolenti e distorcendo l’ecosistema della pubblicità digitale.

Ricercatori UMANI hanno identificato quattro principali gruppi di cybercriminali coinvolti nell’operazione. Il Gruppo SalesTracker ha gestito l’infrastruttura di BADBOX e la sua espansione, mentre il Gruppo MoYu ha sviluppato il backdoor, gestito il botnet e condotto una campagna di frode al click.

Il Gruppo Lemon era collegato a servizi di proxy residenziali e a siti web di giochi online fraudolenti, mentre LongTV ha sviluppato applicazioni CTV malevole per facilitare la frode pubblicitaria nascosta.

HUMAN e i suoi partner hanno disturbato parti chiave di BADBOX 2.0 monitorando la sua infrastruttura e intraprendendo azioni mirate. Google ha rimosso gli account degli editori affiliati a BADBOX e ha potenziato Google Play Protect per bloccare i malware associati durante l’installazione.

Per ridurre l’esposizione, si consiglia agli utenti di verificare se i loro dispositivi sono certificati da Google Play Protect ed evitare dispositivi Android non certificati.

You did not provide any text to translate into Italian. Please provide the text you want translated.