Documentos de um processo judicial iniciado pela Google em Nova Iorque foram revelados, expondo os detalhes daquela que é considerada a maior botnet do seu género na história. Com mais de 10 milhões de dispositivos Android comprometidos, a rede Badbox 2.0 transforma equipamentos infetados numa vasta rede de proxies residenciais, utilizada para atividades criminosas.
A gigante tecnológica, em colaboração com parceiros de cibersegurança, está a tomar medidas legais e técnicas para desmantelar a infraestrutura que permite a operação desta ameaça em larga escala, que se acredita ter origem na China.
O que é a botnet Badbox 2.0?
A Badbox 2.0 é uma rede massiva de dispositivos infetados, na sua maioria set-top boxes Android de baixo custo fabricadas na China, populares entre utilizadores de serviços de streaming gratuitos ou pirateados. Estes equipamentos, ao serem comprometidos, passam a integrar uma botnet que atua como uma rede de proxies residenciais.
Segundo a Google, esta rede é explorada para cometer fraudes publicitárias, distribuir mais malware e levar a cabo outros crimes digitais. Os dispositivos infetados incluem não só boxes de TV, mas também computadores, smartphones, tablets e até sistemas de entretenimento para automóveis.
A descoberta e a evolução da ameaça
Esta nova ameaça é uma evolução da BadBox original, descoberta em 2023, que era composta por "apenas" 74.000 dispositivos. Após as primeiras medidas de contenção, a rede criminosa evoluiu para a Badbox 2.0, com uma dimensão e perigosidade muito superiores.
A descoberta foi feita pela equipa Satori da HUMAN Security, que num relatório inicial detalhou como os aparelhos infetados eram capazes de clicar em anúncios sem o conhecimento do utilizador, gerando receitas fraudulentas. Para além da fraude publicitária, a rede é utilizada para ataques de negação de serviço (DDoS), roubo de contas e propagação de outro software malicioso, como o novo malware para Android que engana as ferramentas de segurança. O potencial de dano é enorme, uma vez que os dispositivos podem executar novo código remotamente sem qualquer interação do utilizador.
Ação legal da Google para desmantelar a rede
Numa publicação recente, a Google revelou que, em parceria com a HUMAN Security e a Trend Micro, está a combater ativamente esta botnet que afeta 10 milhões de dispositivos não certificados que utilizam a versão de código aberto do Android (AOSP), que não possui as proteções de segurança da Google.
As ações incluem um processo judicial num tribunal federal em Nova Iorque, que resultou numa ordem de restrição temporária e, posteriormente, numa injunção preliminar. Estas medidas legais concedem à Google uma ampla autorização para mitigar a propagação do malware. A empresa pode agora bloquear tráfego de e para os endereços IP e domínios associados à botnet, bem como tomar controlo dos nomes de domínio através dos seus registradores, limitando a capacidade de operação da rede criminosa.
Embora os réus não tenham sido identificados, a queixa da Google aponta com confiança para grupos criminosos localizados na China, divididos em diferentes funções:
Grupo de Infraestrutura: Gere os servidores de comando e controlo.
Grupo de Malware Backdoor: Desenvolve e pré-instala o malware nos dispositivos.
Grupo Evil Twin: Cria aplicações para cometer fraude publicitária através de anúncios ocultos.
Grupo Ad Games: Conduz campanhas de fraude através de jogos falsos que geram anúncios em navegadores escondidos.
Como se pode proteger desta ameaça?
O conselho do FBI é claro: os utilizadores devem "evitar descarregar aplicações de mercados não oficiais que anunciam conteúdos de streaming gratuitos" e "avaliar todos os dispositivos IoT ligados às redes domésticas para detetar atividade suspeita".
No entanto, a proteção é complexa. O problema central é que toda a cadeia de abastecimento parece estar comprometida. Muitos destes dispositivos são fabricados já com o malware pré-instalado. Mesmo que não o estejam, o software malicioso pode ser instalado remotamente assim que o aparelho é ligado e conetado à internet, ou quando o utilizador instala uma aplicação aparentemente inofensiva.
Para os utilizadores que procuram filmes e séries de forma gratuita, evitar mercados de apps não oficiais é um desafio, e monitorizar a atividade de uma rede doméstica é uma tarefa tecnicamente difícil para a maioria das pessoas. Perante um dispositivo comprometido de fábrica, a solução mais segura pode mesmo passar pela sua destruição física.
Nenhum comentário
Seja o primeiro!