FBI ostrzega: nie kupuj sprzętu z Chin. Milion zainfekowanych urządzeń
Nowa wersja złośliwego oprogramowania BADBOX na masową skalę atakuje urządzenia z Androidem. FBI podaje, że zainfekowanych zostało już milion sprzętów podłączonych do domowych sieci. Skutki mogą być poważne – od kradzieży danych po udział w przestępczej infrastrukturze sieciowej.
FBI oficjalnie potwierdziło istnienie botnetu BADBOX 2.0, który infekuje tanie, chińskie urządzenia elektroniczne oparte na Androidzie. Na liście znajdują się m.in. smart TV, przystawki streamingowe, projektory, tablety i inne sprzęty z kategorii IoT. Jak podaje FBI, zainfekowane urządzenia służą jako serwery proxy, przez które przestępcy kierują swój ruch sieciowy, maskując tym samym swoje działania.
Jak działa BADBOX 2.0 i skąd bierze się zagrożenie?
Jak czytamy na łamach portalu Bleeping Computer, malware BADBOX 2.0 najczęściej trafia na urządzenia jeszcze przed ich zakupem. Fabrycznie zainstalowane oprogramowanie zawiera już złośliwy kod. Czasem infekcja odbywa się dopiero po włączeniu sprzętu, np. przez aktualizacje firmware lub pobranie aplikacji z nieautoryzowanych źródeł. Po zainfekowaniu urządzenie łączy się z serwerami Command and Control (C2) i wykonuje polecenia cyberprzestępców.
Zidentyfikowane działania obejmują m.in. oszustwa reklamowe, atakowanie kont użytkowników poprzez credential stuffing, a przede wszystkim użycie domowych adresów IP do maskowania cyberataków i oszustw internetowych. Lista modeli podatnych na infekcję obejmuje dziesiątki popularnych tanich urządzeń, takich jak X96Q, TX3mini, X96mini, a nawet sprzęt marki Hisense.
Według danych zespołu HUMAN Satori Threat Intelligence największe skupiska zainfekowanych urządzeń znajdują się w Brazylii (37,6 proc.), USA (18,2 proc.), Meksyku (6,3 proc.) i Argentynie (5,3 proc.). Ruch związany z BADBOX 2.0 zaobserwowano aż w 222 krajach i terytoriach na całym świecie.
Co robić, by uchronić się przed BADBOX 2.0?
FBI zaleca użytkownikom unikać aplikacji z nieoficjalnych sklepów, kontrolować aktywność sieciową urządzeń i wybierać jedynie sprzęty certyfikowane przez Google. W przypadku podejrzenia infekcji należy natychmiast odłączyć podejrzane urządzenie od sieci i uniemożliwić mu dostęp do internetu. Pomocne mogą być również domowe systemy monitorowania ruchu sieciowego i aktualizacje oprogramowania firmware.
Przeczytaj także:
Wspólna akcja firm Google, Trend Micro, Shadowserver i zespołu HUMAN doprowadziła do zablokowania komunikacji dla ponad 500 tys. zainfekowanych urządzeń, jednak problem nadal narasta. Nowe produkty z podatnym oprogramowaniem nadal trafiają na rynek.
*Źródło zdjęcia głównego: Pungu x/shutterstock.com
