Sinkholes 僵尸网络感染了德国 30,000 台 BadBox 设备

德国联邦信息安全局 (BSI) 已经破坏了该国销售的 30,000 多台 Android IoT 设备中预装的 BadBox 恶意软件。

受影响的设备类型包括数码相框、媒体播放器和流媒体，以及潜在的智能手机和平板电脑。

BadBox 是一种 Android 恶意软件，预装在互联网连接设备的固件中，用于窃取数据、安装其他恶意软件或让威胁组织远程访问设备所在的网络。

当受感染的设备首次连接到互联网时，恶意软件将尝试联系威胁组织运行的远程命令和控制服务器。该远程服务器将告诉 BadBox 恶意软件应在设备上运行哪些恶意服务，还将接收从网络窃取的数据。

BSI 表示，该恶意软件可以窃取双因素身份验证代码、安装更多恶意软件，并创建电子邮件和消息平台账户来传播虚假新闻。它还可以通过在后台加载和点击广告来进行广告欺诈，为欺诈团伙创造收入。

最后，BadBox 可以设置为代理，允许其他人使用该设备的互联网带宽和硬件来路由自己的流量。这种策略称为住宅代理，通常涉及牵连用户 IP 地址的非法操作。

德国网络安全机构表示，它通过对 DNS 查询设计了一个陷阱（Sinkholing），阻止了 BadBox 恶意软件设备与其命令和控制 (C2) 基础设施之间的通信，以便恶意软件与警方控制的服务器而不是攻击者的命令和控制服务器进行通信。

Sinkholing 可以防止恶意软件向攻击者发送窃取的数据并接收在受感染设备上执行的新命令，从而有效地阻止恶意软件运行。

“这将影响拥有超过 100,000 名客户的供应商（有关 sinkholing 的更多信息）。只要 BSI 维持 sinkholing 措施，这些设备就不会出现严重危险。”

受感染设备的所有者将收到通知

受到此 Sinkholing 操作影响的设备所有者将根据其 IP 地址收到互联网服务提供商的通知。

该机构表示，收到通知的任何人都应立即断开设备与网络的连接或停止使用。

不幸的是，由于恶意软件预装了固件，因此不应信任设备制造商的其他固件，应退回或丢弃该设备。

BSI 指出，所有受影响的设备都运行着过时的 Android 版本和旧固件，因此即使它们已防范 BadBox，但只要它们暴露在网上，仍然容易受到其他僵尸网络恶意软件的攻击。

“不幸的是，联网产品中存在恶意软件并非罕见现象。过时的固件版本尤其会带来巨大风险。”BSI 总裁 Claudia Plattner 警告说。“我们所有人都有责任：制造商和零售商有责任确保此类设备不会流入市场。但消费者也可以做些什么：网络安全应该是购买时的一个重要标准！”

此外，公告提到，由于Android IoT制造商和设备迭代差异巨大，该国很可能存在更多受BadBox或类似恶意软件感染的设备，而BSI此次无法确定具体设备。

这可能包括智能手机和平板电脑、智能扬声器、安全摄像头、智能电视、流媒体盒以及各种互联网连接设备，这些设备从制造到转售网络遵循一条模糊的路线。

设备被僵尸网络恶意软件感染的迹象包括在看似空闲时过热、性能随机下降、设置意外更改、非典型活动以及与未知外部服务器的连接。

为了减轻过时的 Android IoT 的风险，请安装来自可信供应商的固件映像，关闭不必要的连接功能，并将设备与关键网络隔离。

建议只从信誉良好的制造商处购买智能设备，并寻找提供长期安全支持的产品。

BSI的官方公告：

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/241212_Badbox_Sinkholing.html

新闻链接：

https://www.bleepingcomputer.com/news/security/germany-blocks-badbox-malware-loaded-on-30-000-android-devices/

讲述普通人能听懂的安全故事