Суть атаки в том, что злоумышленники используют заражённые устройства как резидентные прокси — это позволяет им маскировать свою активность, перенаправляя вредоносный трафик через IP-адреса ничего не подозревающих пользователей. Кроме того, заражённая техника участвует в кликфорде, автоматической прокрутке рекламы и в атаках на аккаунты с помощью ранее украденных паролей.
Особую опасность представляет способ заражения. BADBOX 2.0 может быть предустановлен на устройство ещё до покупки — прямо на заводе, либо попасть на него при установке обновлений или приложений из сторонних маркетов. Как подчёркивают специалисты, основное заражение происходит уже на этапе первой настройки, когда устройство скачивает обязательные приложения, содержащие в себе бэкдор.
После активации вредонос подключается к управляющим серверам злоумышленников, получая команды на дальнейшее использование. Одной из главных функций становится участие в прокси-сетях, через которые преступники ведут анонимную деятельность в интернете. Это также позволяет скрывать массовые атаки на сайты, совершать мошенничество с рекламой и использовать взломанные IP в подборе паролей.
Первые случаи заражения BADBOX были зафиксированы ещё в 2023 г. на дешёвых Android TV-боксах — T95 и подобных. Тогда вредонос был остановлен усилиями немецких специалистов, которые блокировали связь заражённых устройств с управляющими серверами через технологию sinkhole. Однако спустя всего неделю новые версии BADBOX были замечены уже на 192 тысячах устройств, включая технику более известных брендов, таких как Hisense и даже Yandex TV.
Исследователи предупреждают, что теперь малварь атакует не только китайские no-name устройства под управлением Android, но заражает девайсы более известных и надежных производителей, включая телевизоры Yandex TV и смартфоны Hisense.
BadBox представляет собой малварь для Android, основанную на вредоносном семействе Triada. Она предустанавливается на устройства и используется для кражи данных, установки дополнительного вредоносного ПО, а также позволяет злоумышленникам получить удаленный доступ к сети, в которой находится зараженный гаджет.
По данным специалистов, малварь может воровать коды двухфакторной аутентификации, устанавливать другие вредоносные программы, а также создавать новые email-аккаунты и учетные записи в мессенджерах для распространения фейковых новостей. Кроме того, операторы Badbox могут быть связаны с рекламным мошенничеством, а зараженные гаджеты порой используются в качестве резидентных прокси.
Работа Badbox на зараженных гаджетах
Еще в прошлом году специалисты Human Security и независимый ИБ-исследователь Даниэль Милишич (Daniel Milisic) предупредили, что тысячи IoT-устройств заражены Badbox и продаются сразу с малварью «в комплекте». Тогда сообщалось, что бэкдоры содержат как минимум семь ТВ-приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.
При этом исследователям не удалось определить, на каком именно этапе цепочки поставок происходит компрометация. Например, заражению подвергаются бюджетные Android-приставки для работы с потоковым видео (как правило, стоимостью менее 50 долларов). Но зачастую они продаются под разными брендами или вообще не имеют бренда, так что проследить их происхождение и цепочку поставок оказалось затруднительно.
На прошлой неделе эксперты Федерального управления по информационной безопасности Германии (BSI) сообщили, что помешали работе ботнета Badbox. Так, в стране обнаружили более 30 000 таких зараженных девайсов (включая цифровые фоторамки, медиаплееры, ТВ-приставки, и вероятно, смартфоны и планшеты).
BSI удалось заблокировать коммуникации между зараженными Badbox устройствами и их управляющей инфраструктурой, осуществив sinkhole DNS-запросов. Соответствующие указания получили все интернет-провайдеры страны, обсуживающие более 100 000 абонентов.
К сожалению, новый отчет компании BitSight гласит, что, несмотря на действия правоохранительных органов Германии, масштабы активности Badbox продолжают расти: исследователи выявили малварь на 192 000 телевизоров и смартфонов.
Эксперты сообщают, что им удалось осуществить sinkhole одного из управляющих серверов вредоноса. Поскольку теперь эксперты контролируют этот домен, они получили возможность наблюдать за устройствами, которые пытаются подключиться к нему. Это и позволило узнать, о каком количестве уникальных IP-адресов идет речь.
«На самом деле, Badbox все еще жив и активно распространяется. Это стало очевидным, когда Bitsight удалось осуществить sinkhole домена Badbox и зафиксировать более 160 000 уникальных IP-адресов, пытавшихся подключится к нему за первые 24 часа. И это число неуклонно растет», — пишут эксперты.
Количество обнаруженных экспертами устройств значительно превышает размеры ботнета Badbox, зафиксированные раннее. Так, считалось, что ботнет начитывает около 74 000 скомпрометированных устройств, а не 192 000, как обнаружили теперь. Девайсы, обнаруженные BitSight, в основном находятся в России, Китае, Индии, Беларуси, Бразилии и Украине.
Хуже того, сообщается, что среди зараженных устройств числятся популярные в России 4K QLED Smart TV от Yandex и смартфоны Hisense T963.
«Затронутые модели от YNDX-00091 до YNDX-000102 — это 4K Smart TV от известного бренда, а не дешевые ТВ-приставки на Android , — объясняют в BitSight. — Это первый случай, когда умные ТВ крупного бренда напрямую обращаются к управляющему серверу Badbox в таких количествах, что расширяет список зараженных устройств, не ограничивая его только ТВ-приставками на Android, планшетами и смартфонами».
Отмечается, что Badbox заражены не только упомянутые модели. Исследователи зафиксировали, что с управляющими серверами малвари общаются устройства, приведенные в таблице ниже.
Более того, более 98% трафика приходится на различные модели YNDX Smart TV и смартфоны T963.
Также в BitSight отмечают, что недавняя операция BSI практически не повлияла на работу ботнета, так как действия правоохранителей были ограничены географически, и в целом ботнет Badbox продолжает работу без существенных изменений.
Эксперты говорят, что Badbox распространяется на все большее количество устройств, поэтому потребителям крайне важно устанавливать последние обновления прошивок, изолировать свои умные устройства от более важных систем и отключать их от интернета, если связанные с этим функции не используются.
Комментарии
Судя по картинке, в статье пиарят германскую контору, которая борется с китайским барахлом на территории России. Так что ли?
Почему на картинке территория гермашки никак не покрашена?
Камрад, если вы так пишете, значит в своей статье вы уже дали рецепты в руки читателям. Или нет?
Готовых рецептов у меня нет. Предупреждён значит - вооружён. Рецепт тут один поменьше ноунеймов, разносить аутентификацию на отдельные сим и разделять финансы и развлечения по разным аккаунтам и устройствам, антивирусы могут не помочь.
Благодарствую за рецепт
Всегда считал, что держать сервисы типа госуслуг или сберонлайн на смартфоне - безумие и глупость. Без всяких малварей он может быть тупо утерян или, ещё лучше, отжат вместе с паролем или пальцем.
Что на это ответит яндекс?
Яндекс же специально акцентировал внимание на том, что их тв едут к нам прямо с завода в Китае. То есть, если верить статье, мы точно знаем где этот завод :)
Это вы знаете. А яндекс может и не знать.
Лет семь назад купил тёще телефон Миромакс (как-то так), индийский вроде, а он вдруг стал порнуху с инета скачивать и показывать. Оказалось, на заводе в прошивку эта штука была зашита. Уж не знаю, специально или нет. Сомневаюсь, что такое невозможно было при тестировании обнаружить. Как только подключался интернет - так тут же пёрла порнуха. Так что давно уже этим производители занимаются.
Я как-то теще кнопочный купил, так эта сука каждую ночь куда-то лезла с симки без оплаченного мобильного интернета:)
Сдал его нахер, каждую ночь 5рублей прилетало:)
Это - другое. Индусы просто бесплатно дарили мануалы по Кама-Сутре. Пиар такой и реклама. Чем еще славится индийская культура, чем можно через интернет достучаться до мозгах всяких варваров?
Ещё у них потрясающие военные парады :)
Куда там болли/холли и прочим вудам :)
Epic. Fail.
Яндекса. Что такое допустили.
Оборотная сторона "импортозамещения", шильды клеить научились. Почему не смотрят внутрянку, на что они клеют шильд, это вопрос большой.
Я вот смотрю на сервисы которые предоставляют residential proxy(для доступа к сайтам и не только с ип клиентов) (более менее официальная тема зачем они нужны - всякие SEO-игрища, скрейпинг маркетплейсов и прочее...серая зона короче. И например один из российских(вроде, цена в рублях, возможна при желании оплата БЕЗ загранкарт и крипты,) сервисов такого типа - прямо говорит что сайты банков так низзя(блок на стороне сервиса) потому что мы же все знаем зачем это...притом что реально - главные сайтов некоторы ру-банков открываются). Если что - таких сервисов - хватает (кстати явно-украинского происхождения тоже есть).
Да - официально там везде пишут что получено этичным путем но с учетом что мне встречались случаи (та же история с браузерным расширением Hola) когда пользователь сам не знал что он оказывается согласился из своего компьютера такой прокси и что там цепочка посредников...я совсем не удивляюсь если через эти телевизоры доступ тоже так вот продается, все желающим.
И если он используется для скрейпинга озона/wb/avito/vk российской более менее легитимной компанией это еще очень хороший вариант, потому что есть более другой вариант - такие прокси используются и для ддос-атака на госуслуги и прочее и для взлома (российский ж IP-фильтрами не закрыть), ну и для постинга чего угодно с каких угодно адресов, более менее анонимно.
Вопросы могут быть и к пользователю(ну а что - к владельцу exit-ноды Tor'а ж были вопросы у ФСБ). При этом пользователь - честно купил смарт-телевизор и даже чек может показать если не выкинул.
Кстати нутрянку яндекс все же смотрят (и пишет)! как минимум частично - прошивка то под яндексовский кастомизированный андроид.
Хотя вообще под residential proxy обычно мобильные модемы используют, так удобнее (можно чаще IP менять) но есть и на домашних каналах
Спасибо, интересный комментарий.
Это не та давняя история, когда пользователь сам поставил выходную ноду?
Она. Но - такие ноды вообщем то всем желающим светят что они такое (что кстати кое кто считает недостатком) и это не отключить и есть легитимные задачи под такое.
Поставить ноду БЕЗ ведома пользователя может и можно но...все инструкции заточены под то что не то что с ведома а еще и максимально светить что это - нода, юзер - не в курсе кто и так далее.
С badbox-подобным - другая ситуация - тут пользователя никто не спрашивал даже и (насколько я понимаю) легитимных задач нет, как и способов контроля пользователем.
Там в конфиге по умолчанию стояла (может и сейчас стоит).
Т.е. нужно в конфиге специально прописывать что не хочешь быть выходной нодой.
Ты когда такую хрень несешь что-то употребляешь или от природы такой?
Шильдики переклеивают тупо всякие говноконторы, а у Яндекса своя собственная прошивка и набор приложений под свою собственную экосистему, а не типовой китайский софт с переклеенной этикеткой. Или ты не знал этого?
Принесли сюда Вы непонятного негатива с вдобленным в вашу голову нерративом о непогрешимости больших компаний. Если у Вас начинают лопаться шаблоны и с глаз слетать розовые очки, обвинять в этом всех кто об этом говорит совсем не обязательно. Выходите из своего информационного пузыря и начинайте думать или хотя бы задумываться если есть чем.
Давеча был пост, где вангуется, в качестве нашего мщения, кибератака на мелкобриттов. Хм, нет ли наглой рыжей мелко бритой морды в BadBox, судя по максималке заражения в России?
Полистал по ссылкам - невесело. Я так понимаю, засветился нонейм-дешман и Хайсенс, про других производителей, вроде ничего не пишут(впрочем, с учётом того ассортимента, что клепает Китай, сомневаюсь, что всё это можно проверить).
DNS sinkhole перехватывает DNS-запросы и перенаправляет их на контролируемый сервер.
Что мешает заткнуть дыры, перешив устройство или же на роутере? Каким-то adgardom или другим фаерволом?
если верить логам, яндекс на втором месте по засовыванию носа куда не нужно. После "копрорации добра".
а вы знаете список адресов, который надо блокировать?
может проще разрешить которые известны и необходимы, а остальные в блок? :)
не всегда получается знать все адреса, используемые необходимыми ресурсами
А вы попробуйте у яндекса куда например ЯндексСтанция ходит и зачем она туда ходит. Удивитесь.
У гугла хотя бы списки "точно их" (и отдельно - Google Cloud где могут быть разные другие клиенты) лежат в куче форматов открытым текстом.
Яндекс же...ну например значительная часть рекламы у них идет с ...https://yandex.ru/ads/.... при этом если рубануть через dns-фильтр домен yandex.ru - отвалится много что еще а /ads/ можно либо внутри браузера либо надо делать MITM )
На роутере - это ж надо затыкать (и знать _что_ затыкать в этом случае). Не все роутеры умеют, хотя...если сейчас человек берет роутер по сути под VLESS чтобы серверы гугла не устаревали и инстаграм работал и либо продавец настраивает либо кто-то еще настраивает - adguard home вероятно тоже влезет (да собственно у VLESS'а есть встроенная поддержка блоклистов даже).
Перепрошивкой - если это заводской сюрприз так он снова встанет.
Тут скорее вопрос - почему пользователь должен этим заниматься? Пользователь купил девайс под брендом яндекса в российском магазине, яндекс не отрицает что это их продукт. Девайс имеет явно недокументированный функционал который пользователю не помогает никак а обществу в целом скорее уж - явно вредит (или может быть использован во зло).
Интересная карта. А Крым-то на ней отмечен как российский!
В 101й раз повторяю: любое новое удобство обязательно принесёт негативные последствия. А чем больше "удобств" - тем больше шансов получить гимор.
На кнопошных тЕлах вся эта изощрённая экзотика почему-то не приживается - сюрприз?
вы таки не поверите, но не сюрприз ни разу. под кнопками кнопошных тЕл сейчас прячется тот же самый андроид. а предустановленный вирус я встречал еще в лохматом 2010 году на брендированном девайсе мегафона. времена специальных телефонных операционок типа симбиана давно уже прошли
Милейший, не несите чуши, ей обидно.
Девайсу с функционалом начала нулевых - связь/СМС операционка вообще без надобности. Вот здесь гляньте перечень кнопошных телефонов BQ. Операционки нет ни где, кроме пары моделей.
у меня есть 3 телефона bq. под капотом ось mocor 5. это андроид 4.4
зачем производителю дешевого телефона самому писать приложения, которые давно уже написаны - контакты, смс, аудиоплеер, диктофон и прочую хрень? он возьмет готовые. а аппарат, который умеет только звонки и смс сейчас еще поискать надо.
Какие именно модели, если не секрет?
Да ладно! Был же несколько лет назад обзор кнопочных телефонов, из которых больше половины имело хмм вредоносные прошивки.
Возможно, камрад имел в виду, что у него есть раритетная Нокия 1998-го года выпуска, которая полторы недели заряд держит (или держала)
у меня еще валяется сименс 2002 года. я не знаю, как он держит батарейку, но симкарты современные в нем уже не работают (тело сообщает, что симкарта не вставлена). и карта, которая оставалась в нем сети тоже уже не видит.
Вот, годный рецепт.
Не так давно на ресурсе была статья с хабра, как сотовые операторы торгуют достаточно своеобразным контентом на основании которого любой человек обладая определенными навыками может вычленить интересующую информацию о любом человеке и использовать в своих целях https://habr.com/ru/companies/timeweb/articles/861510/, так что если соединить одно и другое получается достаточно гремучая смесь с которой надо что то делать в том числе на законодательном уровне
Тут серая зона.
Так то информация о имеи и прочее, не является конфиденциальной и может быть продана официально.
А то, что к этому начали привязывать идентификацию человеков - ну вот так получилось...
Разговоры, что имеи и номер телефона привязывать к человеку с рождения и считать идентификатором, с соответствующей охраной, идут давно, но для политиков это ерунда (их ФСБ прикрывает), опсосам - потеря денег, а клиенты - лохи.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Очередная пугалка. Вкратце: libandroid_runtime.so может подменить на устройстве только его производитель. Потом - да, ботнет со всеми вытекающими, триада, все дела. Но изначальную установку кроме производителя устройства - либо в момент первоначальной прошивки, либо в момент её обновления - никто не может произвести.
Т.е. либо это сознательный шпионаж, либо жадность ОЕМ-заказчика (прошивка написана за 100 долларов вместо нормальной зарплаты), либо очередная пугалка для европейцев "не очень вам и нужны эти китайские гаджеты". С учётом всех последних событий - я за третий вариант. В яндексе всё ж не настолько глупые люди работают.
Сегодня только возмущалась.
ЧЗ ужасно косячит. Сейчас принимаю товар из 17 брюк , купленных у российского производителя 3штуки выдают ошибку. Сколько можно издеваться над людьми?
На марке выданной ЧЗ стоит 58размер, приложение ЧЗ выдает 50размер. Что за хрень??? Мало того, что я не могу ( из- за расхождений) принять накладную через ЭДО, так еще вынуждена буду отправлять товар назад производителю, который тоже теряет время и деньги. В ЧЗ сталкивались с таким понятием как упущенная выгода? Может пора уже ИП и производителям подавать на него в суд? И жаловаться в Ген. Прокуратуру РФ? Так работать не возможно!
Может Вы объясните, что происходит?
Денег мало, беру товар по минимуму, а из- за расхождений на марках выданных ЧЗ и написанному в приложении при прочтении куар кода, я вынуждена оклонять накладную переданную через ЭДО.
Впереди праздники, если сегодня мне не скинут новую накладную за минусом серии из 3штук, то я останусь без нового товара. Если успеют внести изменения и создать накладную из 14штук, вместо 17, то я эти 3 штуки вынуждена буду отправить производителю( благо он согласился оплатить посылку), но мои деньги за 3 брюк зависнут не понятно на сколько времени. ( либо будут висеть на счете фирмы , либо их мне отправят назад на р/ счет только дней через 7 , когда посылку с возвратом получат на фирме.
Мне и производителя жалко, товар хороший, качественный, а из- за отвратительной работы ЧЗ, они его гоняют по стране, оплачивая возвраты. Дебелизм. Кто только придумал такую гадость?
Производитель в шоке, мне 26тыс.₽ надо насобирать на фискальный накопитель (на 3 года), 13тыс.₽ заплатить в Пенсионный фонд. ( до конца месяца) Мало того, что нет продаж, так действуя по непонятно кем предуманному правилу( который не понимаю как отражает написанное в Конституции) я остаюсь и без товара, и , по факту, с замороженными деньгами.
Что делать? Сил нет испытывать на своей шкуре всякие новинки, за которые платишь и платишь. Кто- нибудь несёт наказание за подобный беспредел? Кто- нибудь проверяет работу ЧЗ?
Я точно, так же как и Вы, считаю бесполезной работу ЧЗ - но, по моему мнению, косяк с размером, скорее всего, возник у производителя .
Вы не можете принять полностью - тогда не подписывайте документ и высылайте претензию поставщику, пусть забирает не принятый товар.
Или пусть высылает правильную марку / штрих-код.
Я описывала товар ( остатки) в ЧЗ сама, поэтому понимаю, как это происходит.
Вы описываете товар, это описание проходит модерацию, как только модерация пройдена, Вы заказываете на него марки, которые могут быть в сокращенном или в полном варианте( его Вы выбираете сами), и если Вы выбрали полный вариант, то ,обязательно, выходит название, и размер...Как это описано в ЧЗ. Вы не можете самостоятельно внести изменения в марки , как и в куар код. Вы можете только распечатать то, то Вам прислал ЧЗ.( в полном или сокращенном виде. Как только марки пришли, Вы их наклеиваете на ярлык. И если на марке написан 60размер, то и при модерации, он был 60м. Может быть сбой в ЧЗ, и на марке будет напичатано правильно, а в системе ерунда. У меня вместо 60го, выскочил 52 размер.
Я понимаю , что это ляп ЧЗ,, но я не хочу, чтобы у меня, или производителя были неприятности в случае проверки. ( попробуй потом доказать, что это косяк ЧЗ)
И такое происходит сплошь и рядом. Слышала, что в одном магазине на майские праздники были проблемы с молочкой. Свежая молочка, только, что от производителя, а ЧЗ ее не видит. Покупатели скандал подняли.
Производитель должен был присылать новую машину, чтобы забрать 1завоз и передать 2й. Представляете у людей праздник, а они не могут молока купить, а это предмет первой необходимости. В СВО, данный факт, это ограничение доступа к стратегически важному продукту. Это, вообще, кто- нибудь понимает??? А как это можно будет назвать , если купить нельзя будет хлеб?
Ну так по ЭДО с актом расхождений и принимайте. Или производитель может прислать другую, правильную марку.
Вообще я работаю в айти, но в торговле, и пресловутого ЧЗ мы наелись по горло еще когда внедряли ЧЗ на автошины. Зато - должен сказать - после его внедрения резина в наших магазинах, ввезенная и купленная официально и - оказалась вполне конкурентноспособна по цене с Яндекс.маркетом, шарашкины конторы на котором уделывали раньше нас по ценам как бог черепаху...
Но пришлось немного менять свои процессы и договоренности с поставщиками, это действительно было немного больно. А вот когда я смотрю как в ретейле пытаются пробить десяток пакетов детского питания, а бьются восемь - мне прям жалко кассиров, которые вынуждены выслушивать всякое...
Короче прям двойственное ощущение. Вроде и нужно, но так неудобно - кошмар.
На качество марка никак не влияет. Если я с поставщиком работаю через расчетный счет с накладными, налоговая всегда может проверить и меня, и поставщика. Все эти коды ужас без конца.
Я считаю, что это уже дуют на воду, если это не было создано с другой целью ... Главное , чтобы этой системой не воспользовались глобалисты, для уничтожения нашей экономики и создания очагов напряженности из- за отсутствия ( или недоступности) продуктов питания.Управляемый хаос...
И смысл мне заниматься предпринимательством, если я стала разбираться, как работает ЧЗ, как работает ЛК кассы, как проводить операции через расчетный счет) Осталось только бух.услуги подтянуть и выставлять себя как универнального специалиста при поиске работы.
Смысл мне заниматься закупками и продажами, если со всей этой ерундой у меня на это времени не остается?)
Влияет не марка, а угроза ответственности вплоть до уголовной даже за перевозку товара без марки. Проблема будет когда марку стануть выдавать кому попало (а так тоже бывает - вспомнился мне эпизод задержания одной бородатой личности, у которой распечатанные марки ЧЗ не помню на какую продукцию рулонами лежали прямо в авто). И всё-таки, это скорее исключения, а не правило. К сожалению, зачастую только подобные методы - из-под палки - и работают. Но я из среднего бизнеса, и не владелец его, а наёмный работник.
У меня взгляд не под вашим углом, хотя чисто по-человечески я вас понимаю. В своё время мой товарищ открыл ларёк в переходе РЖД: покупал бытовую химию в Метро, и продавал в этом ларьке. Вполне хватало затыкать кассовые разрывы в других бизнесах, и лапу не сосать. А сегодня для этого ларька на покупке или аренде оборудования и софта разоришься...
Бред полный. Если рассуждать Вашими критериями, то наркомафии давно бы не было.)
Этих марок может напечатать куча логистов( и сертификаты к ним сделать), это сейчас очень доходный бизнес. Сомниваетесь? Наберите в телеге или на авито- купить марки ЧЗ. Сразу вылезут сообщества, которые этим занимаются, особенно для инет-маркетов. Сделайте контрольную закупку. ( создав список несуществующих товаров в экселевском файле) 1марка будет стоить не 60коп. , как в ЧЗ, а минимум 15₽ т.е 100штук 1500₽, (все что меньше, хоть 10шт.все равно начинается от 1500- 2000₽).
Вам скинут марки на почту или вацап, Вы их сможите проверить приложением ЧЗ.)))
Поэтому, я в эти марки не верю. Я верю, своим глазам и рукам( глазами можно увидеть ткань и плетения, а руками определить толщину и что перед Вами- хлопок, лен или синтетика.
Левый товар прекрасно способна выявить налоговая, ей для этого помощники не нужны)
Кстати, возьмите алкоголь. Сколько уже его маркируют? А дрянь можно купить, даже в крупном магазине, особенно по акциям. )
Чтобы понять, что в бутылке- нужна экспертиза продукта, марка от левака не защитит , если производитель в бутылку закачал разведенный юппи).
И чем больше придумывается припон, тем больше придумывается обходных путей. Как то слышала, что после того, как был запрет на ввоз спирта из- за границы, его начали ввозить в чем то наподобие селикогеля..Насколько это правда...? и как его выжимают назад, если это правда?
Страницы