Mais de 1 Milhão de Dispositivos Android Comprometidos por Backdoor Oculto

Uma equipe de pesquisadores de segurança cibernética descobriu e parcialmente interrompeu uma grande operação de fraude chamada BADBOX 2.0, que envolveu uma botnet de mais de um milhão de dispositivos infectados baseados em Android.

A operação, uma evolução da campanha original BADBOX exposta em 2023, dependia de backdoors pré-instalados em dispositivos de consumo de baixo custo e não certificados para facilitar as atividades cibercriminosas.

A investigação, liderada pela equipe de Pesquisa e Inteligência de Ameaças Satori da HUMAN em colaboração com o Google, Trend Micro, Shadowserver e outros parceiros, revelou fortes evidências que ligam os perpetradores por trás do BADBOX à expansão do esquema BADBOX 2.0.

Este esquema se baseia na operação BADBOX original revelada em 2023 e representa o botnet mais extenso de dispositivos de TV conectados (CTV) infectados já identificado, comprometendo mais de um milhão de dispositivos Android de baixo custo e não certificados em todo o mundo.

BADBOX 2.0 explora brechas de segurança em eletrônicos de consumo, como tablets de marcas desconhecidas, caixas de CTV e projetores digitais para implantar módulos de fraude remotamente. Esses dispositivos se conectam a servidores de comando e controle (C2) operados por vários grupos de cibercriminosos.

A infecção se espalha através de cadeias de suprimentos comprometidas, malware pré-instalado ou downloads de aplicativos de terceiros, permitindo que os invasores assumam o controle dos dispositivos dos usuários desavisados.

Uma vez infectados, esses dispositivos tornam-se parte de uma vasta rede de bots usada para atividades fraudulentas. Os invasores os usam para fraudes em anúncios, executando anúncios ocultos e simulando engajamento, fraudes com cliques, direcionando tráfego para domínios falsos e navegação automatizada para inflar o tráfego de sites.

A botnet também permite que os cibercriminosos vendam o acesso aos endereços IP dos dispositivos infectados para serviços de proxy residencial, facilitando a tomada de contas, criação de contas falsas e a burla de sistemas de autenticação.

Adicionalmente, dispositivos comprometidos são utilizados em ataques DDoS, distribuição de malware e roubo de senhas únicas (OTP), permitindo que os invasores sequestrem contas de usuários.

O malware que alimenta o BADBOX 2.0 manipula o comportamento e as métricas de engajamento do usuário através de anúncios ocultos e navegação automatizada, gerando receita fraudulenta de anúncios e distorcendo o ecossistema de publicidade digital.

Pesquisadores HUMANOS identificaram quatro principais grupos de cibercriminosos envolvidos na operação. O Grupo SalesTracker gerenciou a infraestrutura BADBOX e sua expansão, enquanto o Grupo MoYu desenvolveu a porta dos fundos, operou a botnet e realizou uma campanha de fraude de cliques.

O Grupo Lemon foi associado a serviços de proxy residenciais e sites de jogos online fraudulentos, e o LongTV desenvolveu aplicações maliciosas de CTV para facilitar fraudes ocultas de anúncios.

A HUMAN e seus parceiros interromperam partes chave do BADBOX 2.0 monitorando sua infraestrutura e tomando ações direcionadas. O Google removeu as contas de publicadores afiliadas ao BADBOX e reforçou o Google Play Protect para bloquear malwares associados durante a instalação.

Para reduzir a exposição, é aconselhado aos usuários que verifiquem se seus dispositivos são certificados pelo Google Play Protect e evitem dispositivos Android não certificados.