BadBox迅速扩展，感染了19万台Android设备

Bitsight研究人员发现了新的BadBox基础设施，公司遥测数据显示，超过19.2万台设备感染了BadBox僵尸网络。其中16万台设备此前未被发现，尤其包括Yandex 4K QLED智能电视和海信T963智能手机。大多数受感染设备位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。Bitsight封锁了一个BadBox域名，在24小时内记录了超过16万个唯一IP地址，并且这个数字还在持续增长。受BadBox感染的设备在启动时会向C2服务器发送遥测数据，等待指令。Bitsight的报告指出：“coslogdydy.in网址接收到了与BadBox匹配的多次通信。这迅速表明了两点：首先，从YNDX-00091到YNDX-000102的型号是知名品牌生产的4K智能电视，并非廉价的Android电视盒。这是首次发现主要品牌的智能电视以如此大的数量直接与BadBox命令和控制(C2)域名通信，使受影响设备的范围扩展到Android电视盒、平板电脑和智能手机之外。”报告继续说道，“其次，让我们谈谈数量。收集到的遥测数据表明，每天有超过16万个唯一IP进行通信，这个数字一直在稳步增长。”

最近，德国联邦信息安全局（BSI）宣布已阻止了3万台感染BadBox恶意软件的设备与C2之间的通信。这些设备都位于德国，并且都使用了过时的Android版本。当局实际上封锁了僵尸网络，这项操作包括将受感染设备的流量（通常与攻击者的C2服务器通信）重定向到由安全研究人员或执法部门管理的受控服务器或“封锁点”。封锁隔离了恶意软件，并阻止其执行命令或窃取数据。

预装在设备上的BadBox恶意软件会创建电子邮件和消息帐户来传播虚假信息。该僵尸网络通过在后台访问网站来进行广告欺诈，并充当住宅代理，共享用户的互联网连接用于犯罪活动，这可能会将用户的IP地址与非法活动联系起来。BadBox还可以下载额外的有效载荷，从而增加了用户的风险。BSI指示全国所有拥有超过10万用户的互联网服务提供商协助其进行封锁操作。

2023年10月，Human Security的网络安全研究人员发现了一个名为BadBox的全球消费产品网络，该网络安装了固件后门，并通过受损的硬件供应链销售。专家报告称，全球至少有7.4万部基于Android的手机、平板电脑和联网电视盒预装了带有后门的固件。

原文始发于微信公众号（黑猫安全）：BadBox迅速扩展，感染了19万台Android设备