Сперва главное:
🇩🇪 Власти Германии остановили крупную операцию по распространению вредоносного ПО, которое затронуло тысячи Android-устройств по всей стране.
📈 По данным Федерального управления информационной безопасности (BSI), около 30 000 устройств были заражены вредоносным ПО BADBOX, включая цифровые фоторамки, медиаплееры и потоковые устройства, а также некоторые смартфоны и планшеты.
💡 BADBOX мог создавать новые учётные записи для почтовых и новостных сервисов, распространять фейковые новости и пропаганду, открывать сайты в фоновом режиме для подсчёта просмотров рекламы (мошенничество), действовать как прокси-сервис и загружать дополнительные вредоносные программы на устройства.
🌍 Операция была впервые обнаружена более года назад, и предполагается, что она исходит из Китая. Злоумышленники также управляют ботнетом PEACHPIT для мошенничества с рекламой в популярных приложениях Android и iOS.
Теперь подробнее:
Власти Германии смогли остановить крупную операцию по распространению вредоносных программ, которая затронула тысячи Android-устройств по всей стране.
Федеральное управление информационной безопасности (BSI) сообщило, что BADBOX был предустановлен на устройствах Android со старыми версиями прошивки, которые фактически продавались уже заражёнными.
По данным агентства, в стране было заражено около 30 000 устройств, причём наиболее распространёнными конечными точками были цифровые фоторамки, медиаплееры и устройства для стриминга, однако некоторые смартфоны и планшеты также могли быть инфицированы.
«Общим для всех этих устройств является то, что они имеют устаревшие версии Android и были поставлены с предустановленным вредоносным ПО», — говорится в пресс-релизе BSI.
Представитель Google также добавил, что заражённые устройства не были сертифицированы Play Protect, то есть не находились под пристальным вниманием Google: «Устройства, которые, как выяснилось, были заражены, не сертифицированы Play Protect. Если устройство не сертифицировано Play Protect, у Google нет данных о результатах тестов на безопасность и совместимость», — сообщил представитель TechRadar Pro в электронном письме. «Сертифицированные Play Protect устройства Android проходят тщательное тестирование для обеспечения качества и безопасности пользователей. Чтобы помочь вам подтвердить, создано ли устройство на базе Android TV OS и сертифицировано ли оно Play Protect, на нашем веб-сайте Android TV представлен самый актуальный список партнёров. Вы также можете предпринять следующие шаги, чтобы проверить, сертифицировано ли ваше устройство Play Protect».
Агентство рассказало, как BADBOX может выполнять ряд вредоносных действий. В основном он был создан для того, чтобы незаметно создавать новые учётные записи для служб электронной почты и сообщений, которые впоследствии использовались для распространения фейковых новостей, дезинформации и пропаганды, но BADBOX также был разработан для открытия веб-сайтов в фоновом режиме, что считалось бы просмотром рекламы — практикой, обычно воспринимаемой как мошенничество с рекламой.
Кроме того, вредоносная программа могла действовать как прокси-сервис, предоставляя трафик злоумышленникам для различных незаконных действий. Наконец, BADBOX можно использовать и как загрузчик, устанавливая на устройства дополнительное вредоносное ПО.
Сообщается, что эта операция была впервые задокументирована Satori Threat Intelligence от HUMAN более года назад и, скорее всего, происходит из Китая. Те же злоумышленники якобы управляют ботнетом для мошенничества с рекламой под названием PEACHPIT, предназначенным для подделки популярных приложений для Android и iOS, и собственным трафиком из сети BADBOX.
«Этот полный цикл мошенничества с рекламой означает, что они зарабатывали деньги на фальшивых показах рекламы в своих мошеннических приложениях», — заявили тогда в HUMAN. «Любой может случайно купить устройство BADBOX онлайн, даже не подозревая, что оно поддельное, подключить его и неосознанно открыть это вредоносное программное обеспечение».