BadBox 迅速壮大，已感染 19 万台 Android 设备，国内感染严重

专家发现，190,000 台 Android 设备被 BadBox 机器人感染，主要包括 Yandex 智能电视和海信智能手机。 Bitsight 研究人员发现了新的 BADBOX 基础设施，公司的遥测显示超过 192,000 台设备感染了BADBOX机器人。

僵尸网络包括 16 万台之前从未见过的设备，尤其是 Yandex 4K QLED 智能电视和 T963 某信智能手机。大多数受感染的设备位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰

Bitsight 入侵了 BADBOX 域名，在 24 小时内记录了超过 160,000 个唯一 IP，而且这个数字还在持续增加。

受 BADBOX 感染的设备在启动时将遥测数据发送到 C2 服务器，等待指令。

Bitsight 的报告写道： “  coslogdydy[.]in  url 收到多条与 BADBOX 匹配的通信。”“这很快表明了两件事：首先，从 YNDX-00091 到 YNDX-000102 的型号是知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒。这是首次发现主流品牌智能电视直接与 BADBOX 命令和控制 (C2) 域进行如此大规模的通信，将受影响设备的范围扩大到 Android 电视盒、平板电脑和智能手机之外。”报告继续说道，“其次，让我们谈谈数量。收集到的遥测数据表明，每天有超过 160,000 个唯一 IP 进行通信，这个数字一直在稳步增长。”

近日，德国联邦信息安全局（BSI）宣布已阻断3万台感染BadBox 恶意软件的设备 与C2之间的通信。这些设备均位于德国境内，且均使用过时的Android版本。

从技术上讲，当局对僵尸网络实施了“sinkholing” ， 这一操作涉及将受感染设备的流量（通常与攻击者的 C2 服务器通信）重定向到由安全研究人员或执法部门管理的受控服务器或“sinkholing”。Sinkholing  隔离了恶意软件，并阻止其执行命令或窃取数据。

BadBox 恶意软件预装在设备上，会创建电子邮件和消息账户以传播 虚假信息。该机器人通过在后台访问网站进行广告欺诈，并充当住宅代理，共享用户的互联网连接以进行犯罪活动，从而将用户的 IP 地址链接到非法活动。BadBox 还可以下载其他有效载荷，从而加剧用户的风险。

BSI 指示该国所有拥有超过 100,000 名用户的互联网提供商协助其开展沉洞作业。

2023 年 10 月，Human Security 的网络安全研究人员 发现了 一个名为 BADBOX 的全球消费产品网络，其中安装有固件后门，并通过受损的硬件供应链进行销售。

专家报告称，全球至少有 74,000 部基于 Android 的手机、平板电脑和联网电视盒安装了带有后门的固件。

美国各地公立学校网络上均发现了含有恶意后门的产品。

不幸的是，BSI 最近的行动对 BadBox 运营的影响有限，因为执法行动仅限于该国。

“BADBOX 行动展示了网络犯罪分子如何进一步掌握利用全球供应链广泛传播恶意软件的技巧。”报告总结道。“虽然这篇博文关注的是俄罗斯和中国受感染密度较高的设备，但 BADBOX 恶意软件是一种影响所有国家和大多数类型 Android 设备的流行病。”

https://www.bitsight.com/blog/badbox-botnet-back