نسخه دوم باتنت BadBox که بیش از یک میلیون دستگاه اندرویدی را تحت تأثیر قرار داده بود، بهطور جزئی مختل شده است. گزارش شرکت امنیت سایبری Human Security، متخصص در مقابله با باتنتها و کلاه برداری های آنلاین، نشان میدهد که این باتنت، پس از تأثیرگذاری بر بیش از یک میلیون دستگاه در سراسر جهان، تا حدی تحت کنترل قرار گرفته است.
این باتنت که ابتدا در سال ۲۰۲۳ کشف شد، شامل دستگاههای اندرویدی ارزانقیمت بود که با فریمور مجهز به بکدور به بازار عرضه شده بودند. این دستگاهها، از جمله گوشیهای هوشمند، گیرنده های دیجیتال CTV و تبلتها، دست کم توسط یک تولیدکننده چینی ساخته شدهاند و برخی از آنها حتی در مدارس دولتی ایالات متحده استفاده می شدهاند.
در دسامبر ۲۰۲۴، آلمان موفق شد ارتباط بیش از ۳۰ هزار دستگاه ،آلوده به BadBox را با سرورهای فرمان و کنترل(C&C) قطع کند، اما کمی بعد، باتنت بزرگتری با بیش از ۱۹۰ هزار دستگاه کشف شد. هدف از این عملیات، ایزوله کردن ترافیک مخرب و جلوگیری از دریافت دستورات جدید از مهاجمان بود. اکنون Human Security هشدار میدهد که تأثیر این باتنت بسیار گستردهتر از حد تصور اولیه بوده و نسخه دوم آن، موسوم به BadBox 2.0، بیش از یک میلیون دستگاه را در بیش از ۲۲۰ کشور آلوده کرده است.
BadBox 2.0
BadBox 2.0 الگویی مشابه نسخه قبلی خود دارد: استفاده از دستگاههای پروژه متنباز اندروید (AOSP) حاوی بکدور که توسط چندین تولیدکننده چینی عرضه شدهاند. این دستگاه ها، شامل تبلتهای ارزان قیمت، گیرنده های دیجیتالCTV ، پروژکتورها و سایر محصولات، توسط گروههای مختلف مهاجم برای انجام انواع کلاه برداری ها مورد سوءاستفاده قرار میگیرند. بکدور در این محصولات یا در زنجیره تأمین کاشته میشود، یا هنگام اولین بوت از سرور فرمان و کنترل دریافت میشود و یا توسط کاربران ناآگاه از طریق شخص ثالث دانلود میشود.
شرکت Human Security گزارش داده که مهاجمان BadBox و BadBox 2.0 از زنجیرههای تأمین نرمافزار یا سختافزار سوءاستفاده میکنند یا برنامههایی به ظاهر بیضرر با قابلیت «لودر» منتشر میکنند تا این دستگاهها و برنامهها را به بکدور آلوده کنند.
آخرین وضعیت BadBox
خبر خوب این است که باتنت BadBox 2.0 با همکاری گوگل، Trend micro، Shadowserver و دیگر شرکا تا حدی مختل شده است؛ اما خبر بد این است که اختلال کامل هنوز ممکن نیست، زیرا آلودگی در زنجیره تأمین رخ میدهد.
دستگاههای آلوده برای کلاه برداری های تبلیغاتی، تقلب در کلیکها یا به عنوان پروکسیهای مسکونی (آدرس IP واقعی از دستگاههای فیزیکی فراهم میکند تا اعتبار بالاتری داشته باشند) استفاده شدهاند و فعالیتهای مخربی مانند تصاحب حساب، ایجاد حساب جعلی، حملات منع سرویس توزیعشده(DDoS)، توزیع بدافزار و سرقت رمزهای یکبارمصرف (OTP) را تسهیل کردهاند.
با این حال، این باتنت به دلیل وجود بکدور در دستگاه های آلوده میتواند برای انواع دیگر فعالیتهای مخرب نیز به کار رود، زیرا اپراتورهای آن قادرند هر کدی را روی دستگاههای آلوده بارگذاری و اجرا کنند و هر عملکردی را که بخواهند فعال کنند.
چهار گروه مهاجم در عملیات BadBox 2.0 شناسایی شدهاند:
- گروه SalesTracker (عامل احتمالی نسخه اولیه BadBox)
- گروه MoYu (توسعهدهنده بکدور)
- گروه Lemon (مرتبط با بدافزار Guerrilla)
- LongTV (برندی از یک شرکت اینترنتی و رسانهای مالزیایی)
این حمله نتیجه همکاری گروههای مختلف مهاجم بوده که نه تنها زیرساختها، بلکه اهداف را نیز با هم به اشتراک گذاشتهاند و رویکردی جمعی و هماهنگ را دنبال کردهاند.
مشابه با BadBox، بدافزار Guerrilla در فریمور دستگاهها جاسازی شده و از همان تاکتیکهای زنجیره تأمین برای گسترش استفاده میکند.
اقدامات انجامشده برای اختلال در باتنت
برای مختل کردن فعالیتهای این باتنت اقدامات زیر انجام شده است:
- ایجاد مکانیزمهایی برای کاهش درآمدزایی از طریق تقلبهای تبلیغاتی
- اضافه کردن قابلیت شناسایی رفتار مرتبط با BadBox به Google Play Protect
- مسدود کردن حسابهای ناشرانی که در کلاهبرداریهای تبلیغاتی مرتبط با این باتنت مشارکت داشتهاند
شرکت Human Security تاکید کرد که این عملیات اکوسیستم تبلیغات دیجیتال را هدف قرار داده و مسیر کاربر از یک تبلیغ تا یک وبسایت را دستکاری کردهاند. از طریق قابلیت پروکسیهای مسکونی به درگاههای ورود (login portals) نفوذ کرده و از دستگاههای آلوده حاوی بکدور بهعنوان یک باتنت سوءاستفاده کردهاند.
این حملات در گذشته نیز اتفاق افتاده و نزدیکترین آن، حمله بات نت VO1D به تجهیزات ستاپ باکس و تلویزیون های اندروید بود، بنابراین کاربران و سازمانها باید توجه داشته باشند که حتی دستگاههایی که بهتازگی خریداری شدهاند نیز ممکن است بهطور پیشفرض آلوده باشند. برای کاهش ریسک، باید بررسیهای امنیتی دقیقتری روی دستگاههای جدید انجام شود.
