Ботнет BadBox потерял 500 тыс. зараженных Android-устройств

Татьяна Никитина 06 Марта 2025 - 17:17

...

Ботнет BadBox потерял 500 тыс. зараженных Android-устройств

Несмотря на попытку ликвидации, BadBox продолжал наращивать потенциал, который в итоге превысил 1 млн ботов. Повторная подмена C2-серверов (sinkhole) обезвредила 500 тыс. зараженных Android-устройств, однако это вряд ли остановит рост численности ботнета.

Дело в том, что BadBox состоит из бюджетных гаджетов с бэкдором, внедренным в результате атаки на цепочку поставок либо позднее, через загрузку вредоносного приложения или обновление прошивки.

Недостатка в таких девайсах нет, они плохо защищены и, став частью ботнета, начинают проксировать трафик для киберкриминала, накручивать рекламные клики, принимать участие в массовом взломе аккаунтов.

Предыдущая попытка обезвредить BadBox была предпринята властями Германии в декабре прошлого года. На тот момент им удалось пресечь C2-коммуникации 30 тыс. инфицированных Android-устройств; не прошло и недели, как вредоносная сеть увеличилась до 192 тыс. боевых единиц.

С тех пор ботнет еще больше разросся: в HUMAN зафиксировали более 1 млн заражений в 222 странах, с наибольшей концентрацией в Бразилии, США, Мексике и Аргентине.

В основном это устройства китайского производства с AOSP-версией Android — ТВ-приставки, планшеты, кинопроекторы, информационно-развлекательные системы автомобилей.

Бэкдор, лежащий в основе ботнета BadBox 2.0 (в HUMAN его отслеживают как вторую версию из-за резкого роста численности), схож с Vo1d, однако последний ориентирован лишь на ТВ-приставки. Как оказалось, зловред работает по прежней схеме: подключается к вшитому в код C2, получает конфигурационный файл, а затем загружает дополнительные компоненты.

Пользуются ботнетом и обеспечивают его работу четыре кибергруппы:

SalesTracker (управление инфраструктурой);
MoYu (разработка бэкдоров и ботов);
Lemon (мошенничество с рекламой);
LongTV (разработка вредоносных приложений).

Осуществить подмену C2-серверов по методу sinkhole экспертам помогли их коллеги из Shadowserver Foundation. В Google Play были обнаружены 24 приложения, ассоциированных с BadBox; их уже удалили, а аккаунты Google Ads, также связанные с операциями ботнета, аннулировали.

К сожалению, Google не в состоянии помочь жертвам заражения, не использующим Play Protect и Play Services. Принятые меры также бесполезны против предустановки вредоносных программ на дешевые Android-гаджеты. Практика показывает, что потеря C2 тоже восполнима: ботоводы в любой момент могут поднять новые серверы, а заодно усилить их защиту.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 08:45

Уязвимости программ Утечки информации Случайные утечки Домашние пользователи

Имея только номер: как WhatsApp выдаёт активность и устройства пользователя

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) снова оказался в центре внимания исследователей, на этот раз из-за утечек метаданных, которые позволяют узнать о пользователе больше, чем хотелось бы. Как выяснил сооснователь и CTO Zengo Таль Беэри, имея только номер телефона, посторонний может определить, когда человек бывает онлайн, а в некоторых случаях даже выяснить, какими устройствами он пользуется.

Своё исследование Беэри представит на Black Hat Asia 2026. Суть проблемы не в том, что WhatsApp раскрывает содержимое переписки, с этим у мессенджера, по словам разработчиков, по-прежнему всё жёстко благодаря сквозному шифрованию.

Здесь, кстати, Паша Дуров не согласится. Напомним, основатель Telegram недавно назвал шифрование WhatsApp крупнейшим обманом пользователей.

Тем не мене побочным эффектом архитектуры мессенджера оказались именно метаданные. По данным Dark Reading, исследователь показал, как с помощью самодельного инструмента, работающего через протокол WhatsApp Web, можно незаметно отслеживать активность пользователя. Например, отправлять особые «тихие» сигналы, которые не отображаются на устройстве жертвы, но позволяют понять, находится ли человек онлайн.

Такие «незаметные пинги» сами по себе не выглядят чем-то катастрофическим, но на практике могут дать злоумышленнику полезные сведения. По сути, можно постепенно собрать цифровой распорядок дня жертвы: когда она спит, когда работает, в какое время с большей вероятностью откликнется на фишинговое сообщение. В теории этот же механизм можно использовать и для медленного расхода батареи устройства.

Есть и ещё один нюанс. Когда кто-то инициирует новый чат, WhatsApp в служебном обмене передаёт данные, необходимые для сквозного шифрования на всех устройствах пользователя. Из-за особенностей этих идентификаторов можно сделать вывод, на каких платформах человек использует мессенджер — например, на iPhone, Android или десктопе. Причём для этого, как утверждает исследователь, достаточно просто добавить номер в контакты, не уведомляя владельца.

Сам по себе такой слив метаданных может показаться мелочью, но, по мнению Беэри, он полезен и мошенникам, и более серьёзным киберпреступникам. Одним он даёт дополнительную информацию для фишинга и социальной инженерии, другим — помогает точнее готовить атаки под конкретную ОС и устройство.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!