El FBI advierte que la campaña de
malware
BADBOX 2.0
ha infectado más de un millón de dispositivos domésticos conectados a
Internet, convirtiendo los dispositivos electrónicos de consumo en servidores proxy
residenciales que se utilizan para actividades maliciosas.
La botnet BADBOX se encuentra comúnmente en televisores inteligentes,
dispositivos de streaming, proyectores, tabletas y otros dispositivos del
Internet de las Cosas (IoT) chinos basados en Android.
«La botnet BADBOX 2.0 está compuesta por millones de dispositivos
infectados y mantiene numerosas puertas traseras a servicios proxy que los
cibercriminales explotan vendiendo o proporcionando acceso gratuito a redes
domésticas comprometidas para utilizarlas en diversas actividades
delictivas»,
advierte el FBI.
Estos dispositivos vienen preinstalados con la botnet de malware BADBOX 2.0 o
se infectan tras instalar actualizaciones de firmware y a través de
aplicaciones maliciosas de Android que se infiltran en Google Play y tiendas
de aplicaciones de terceros.
Los ciberdelincuentes obtienen acceso no autorizado a las redes domésticas
configurando el producto con software malicioso antes de la compra o
infectando el dispositivo mientras descarga aplicaciones necesarias que
contienen puertas traseras, generalmente durante el proceso de configuración,
explica el FBI.
Una vez que estos dispositivos IoT comprometidos se conectan a las redes
domésticas, son susceptibles de formar parte de la botnet BADBOX 2.0 y de los
servicios proxy residenciales, conocidos por su uso para actividades
maliciosas. Una vez infectados, los dispositivos se conectan a los servidores
de comando y control (C2) del atacante, donde reciben comandos para ejecutar
en los dispositivos comprometidos, como:
-
Redes proxy residenciales: El malware dirige el tráfico de otros
ciberdelincuentes a través de las direcciones IP de las víctimas,
enmascarando la actividad maliciosa. -
Fraude publicitario: BADBOX puede cargar y hacer clic en anuncios en
segundo plano, generando ingresos publicitarios para los actores de la
amenaza. -
Relleno de credenciales: Al aprovechar las IP de las víctimas, los
atacantes intentan acceder a las cuentas de otras personas utilizando
credenciales robadas. BADBOX 2.0 evolucionó a partir del malware BADBOX
original, que se
identificó por primera vez en 2023
después de que se encontrara preinstalado en dispositivos Android TV baratos
y sin nombre como el T95.
Con el paso de los años, la botnet de malware continuó expandiéndose hasta
2024, cuando la agencia de ciberseguridad alemana la interrumpió en el país
bloqueando la comunicación entre los dispositivos infectados
y la infraestructura del atacante, inutilizando el malware.
Sin embargo, esto no detuvo a los actores de la amenaza, ya que
los investigadores afirmaron
haber encontrado el malware instalado en 192.000 dispositivos una semana
después. Aún más preocupante, el malware se encontró en marcas más comunes,
como televisores Yandex y smartphones Hisense.
Desafortunadamente, a pesar de la interrupción previa, la botnet continuó
creciendo. El grupo Satori de la empresa
HUMAN Security afirmó
que
más de un millón de dispositivos
de consumo se habían infectado para marzo de 2025. Esta nueva botnet, de mayor
tamaño, ahora se denomina BADBOX 2.0 para indicar un nuevo seguimiento de la
campaña de malware. Los dispositivos conectados a la operación BADBOX 2.0
incluían tabletas de bajo precio, de marcas genéricas y sin certificación,
decodificadores de TV conectada (CTV), proyectores digitales y mucho más.
Los dispositivos infectados pertenecen al Proyecto Android de Código Abierto,
no a Android TV ni a dispositivos
Android con certificación Play Protect. Todos estos dispositivos se fabrican en China continental y se envían a
nivel mundial; de hecho, HUMAN observó tráfico asociado a BADBOX 2.0 en 222
países y territorios de todo el mundo.
Los investigadores de HUMAN estiman que la botnet BADBOX 2.0 abarca 222
países, con el mayor número de dispositivos comprometidos en Brasil (37,6%),
Estados Unidos (18,2%), México (6,3%) y Argentina (5,3%).
En una operación conjunta liderada por el equipo de HUMAN, Google, Trend
Micro, The Shadowserver Foundation y otros socios, la botnet BADBOX 2.0 fue
interrumpida de nuevo para impedir que más de 500.000 dispositivos infectados
se comunicaran con los servidores del atacante.
Sin embargo, a pesar de esta interrupción, la botnet continúa creciendo a
medida que los consumidores compran más productos comprometidos y los conectan
a internet.
A continuación, se presenta una lista de dispositivos afectados por el malware
BADBOX:
| Device Model | Device Model | Device Model | Device Model |
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Los síntomas de una infección por BADBOX 2.0 incluyen tiendas de aplicaciones
sospechosas, configuración de Google Play Protect desactivada, dispositivos de
streaming de TV anunciados como desbloqueados o con acceso a contenido
gratuito, dispositivos de marcas desconocidas y tráfico de internet
sospechoso. Además, este malware se encuentra comúnmente en dispositivos sin
la certificación de Google Play Protect.
El FBI recomienda encarecidamente a los consumidores que se protejan de la
botnet siguiendo estos pasos:
-
Evalúe todos los dispositivos IoT conectados a redes domésticas para
detectar actividad sospechosa. -
Nunca descargue aplicaciones de tiendas no oficiales que ofrezcan
aplicaciones de «streaming gratuito». - Supervise el tráfico de internet hacia y desde las redes domésticas.
-
Mantenga todos los dispositivos de su hogar actualizados con los últimos
parches y actualizaciones. -
Finalmente, si sospecha que su dispositivo está comprometido, debe aislarlo
del resto de la red y restringir su acceso a internet, lo que detendrá
eficazmente el malware.
Fuente:
BC