Недавний отчет об операции «BADBOX 2.0» подчеркивает эволюцию угроз, связанных с киберпреступностью, особенно среди пользователей недорогих потребительских устройств на платформе Android. Эта система мошенничества использует различные методы и стратегии для реализации обширного спектра цифрового мошенничества.
Что такое BADBOX 2.0?
BADBOX 2.0 представляет собой сложную операцию, основанную на внедрении бэкдоров на устройства, работающие на открытом исходном коде Project Android. Основные характеристики этой схемы:
- Использование цепочек поставок программного и аппаратного обеспечения.
- Распространение безобидных на первый взгляд приложений, выполняющих функции загрузчика.
- Наличие бэкдора под названием «BB2DOOR», который инициирует сложный процесс заражения устройств.
Все устройства в рамках данной операции, как было установлено, преимущественно производятся в Китае, и масштабы затрагивают более миллиона устройств по всему миру. Бэкдор, установленный на этих устройствах, подключается к серверам управления (C2) и загружает необходимые компоненты для проведения мошеннических операций.
Как работает BADBOX 2.0?
Вредоносные группы, стоящие за BADBOX 2.0, имеют специализированные роли. Например, группа SalesTracker управляет инфраструктурой C2, тогда как группа MoYu контролирует сам бэкдор и предоставляет ему доступ для проведения назначения:
- Мошенничество с рекламой.
- Мошенничество с кликами.
- Настройка локальных прокси-узлов.
Функционал бэкдора достаточно продвинут. С использованием модифицированной библиотеки Android (libanl.so) реализованы ключевые процедуры для обеспечения контроля над зараженными устройствами. Эти устройства могут:
- Показывать скрытую рекламу.
- Принимать участие в программном мошенничестве через имитацию законных веб-просмотров.
Кроме того, скомпрометированные устройства могут автономно перемещаться между доменами низкого качества, кликать на рекламу и тем самым генерировать незаконный доход.
Меры противодействия
Для борьбы с BADBOX 2.0 компания Google и другие партнеры по безопасности внедрили ряд мер:
- Google Play Protect автоматически выявляет и блокирует приложения, связанные с BADBOX на сертифицированных устройствах.
- Аккаунты вредоносных издателей в рекламной инфраструктуре Google были заблокированы.
Однако способность злоумышленников к быстрой адаптации создает серьезные проблемы. После остановки своей деятельности хакеры создают новые домены C2 и инфраструктуру, чтобы продолжить свои мошеннические действия.
Заключение
BADBOX 2.0 является примером скоординированной операции киберпреступников, использующих обширную сеть скомпрометированных устройств для реализации сложных схем мошеннических действий. Это подчеркивает необходимость постоянной бдительности и глубокого изучения новых угроз в сложном цифровом ландшафте.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция BADBOX 2.0: Угрозы и тактики киберпреступников".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.