Prima di procedere
Un milione di dispositivi Android, tra cui box TV, tablet, proiettori e sistemi di infotainment per auto, sono stati compromessi da una sofisticata rete di malware che li sfrutta per attività illecite online come frodi pubblicitarie e servizi proxy, senza che i proprietari ne siano consapevoli. Questa campagna malevola, chiamata Badbox 2.0, rappresenta una versione evoluta di un attacco simile scoperto nel 2023. La principale novità di questa versione è l’utilizzo di tecniche di diffusione malware più tradizionali, basate principalmente su software, rispetto al firmware compromesso utilizzato in precedenza.
Secondo quanto emerso dalla ricerca di Human Security, questa campagna si sta diffondendo attraverso dispositivi che generalmente non provengono da marchi noti e che spesso utilizzano nomi generici, come i dispositivi TV98 e X96. I dispositivi colpiti si trovano principalmente in Sud America, con una concentrazione particolare in Brasile. I malintenzionati sfruttano questi dispositivi per generare entrate tramite frodi pubblicitarie e la vendita di servizi proxy, utilizzando i dispositivi infetti come "nodi" senza che gli utenti ne siano a conoscenza.
Il processo di attacco coinvolge l'uso di app maligne che gli hacker inducono gli utenti a scaricare. In alcuni casi, le app malevoli vengono preinstallate sui dispositivi, ma più frequentemente gli utenti vengono ingannati nel scaricare versioni compromesse di app legittime. Un'ulteriore tattica insidiosa riguarda la creazione di app gemelle maligne, che si presentano come versioni innocue di app verificate, ma che in realtà ospitano malware. Questa tecnica è stata utilizzata per creare frode pubblicitaria e clic falsi nelle versioni originali delle app e per distribuire il malware nelle versioni contraffatte.
Human Security, Trend Micro e Google hanno collaborato per contrastare la botnet Badbox 2.0, utilizzando una tecnica di "sinkholing" per bloccare il traffico della botnet. Tuttavia, nonostante la parziale neutralizzazione, gli esperti avvertono che questa modifica delle tattiche da parte degli hacker potrebbe significare che le attività malevoli non siano state fermate completamente. In effetti, i ricercatori hanno identificato almeno 24 app gemelle maligne utilizzate nella campagna.
Per quanto riguarda la protezione dei consumatori, la raccomandazione principale è evitare l'acquisto di dispositivi troppo economici, che potrebbero nascondere trappole come queste. In caso di dubbi, è sempre importante verificare la provenienza e la sicurezza dei dispositivi e delle applicazioni che si scaricano, per prevenire danni e furti di dati sensibili.
Google ha già preso provvedimenti per interrompere gli account di editori coinvolti nella frode e per bloccare la generazione di entrate tramite il suo ecosistema pubblicitario, confermando che attacchi simili violano le sue politiche.
La lezione principale è chiara: "Se qualcosa sembra troppo bello per essere vero, probabilmente lo è".
Fonte: Tomshv
