През март стана ясно, че една от най-големите ботнет мрежи от този тип, откривана досега, е засегнала над един милион Android устройства. Тази масивна атака беше известна като BadBox, но сега е засенчена от BadBox 2.0, която е заразила най-малко 10 милиона Android устройства. Google вече предприе мерки, за да защити потребителите по най-добрия възможен начин, както и да започне съдебни действия срещу нападателите, а ФБР призова засегнатите потребители да прекъснат връзката на устройствата си с интернет.

Ето какво трябва да знаете.

Предупреждението на ФБР за киберсигурност не можеше да бъде по-ясно: текущите атаки са насочени към всичко – от стрийминг устройства, цифрови фоторамки, инфоразвлекателни системи за автомобили и други разнообразни домашни смарт устройства. Устройствата, всички от които са евтини и несертифицирани, предимно с произход от Китай, позволяват на хакерите да получат достъп до домашната ви мрежа и отвъд нея, като, според предупреждението на ФБР, „конфигурират продукта със злонамерен софтуер преди покупката от страна на потребителя“. Също така е отбелязано, че задължителните „софтуерни актуализации“ по време на инсталационния процес също могат да инсталират злонамерен вход към системата.

Екипът на Point Wild Threat Intelligence Lat61 извърши обратно инженерство на веригата на заразяване BadBox 2 и в резултат на това откри нови индикатори за компрометиране, които бяха споделени с глобалните екипи за реагиране при компютърни инциденти, както и с правоприлагащите органи.

„Този зловреден софтуер за Android е предварително инсталиран във фърмуера на евтини IoT устройства, смарт телевизори, TV боксове, таблети, още преди да напуснат фабриката“, казва Киран Гайквад от екипа на LAT61. „Той тихо ги превръща в прокси възли за престъпни операции като клик фалшификации, кражба на потребителски данни и тайно маршрутизиране на команди и контрол.“

Google междувременно потвърди в изявление от 17 юли, че е завел дело във федералния съд в Ню Йорк срещу извършителите на ботнета. Компанията също така заяви, че е актуализирала вградената защита на Android срещу зловреден софтуер и нежелан софтуер Google Play Protect, за да блокира автоматично приложенията, свързани с BadBox.

На свой ред, компанията Human Security, чийто екип за разузнаване и изследване на заплахи Satori първоначално разкри и прекъсна кампанията на заплахата BadBox 2.0, заяви по това време, че изследователите смятат, че няколко групи от заплахи са участвали в BadBox 2.0, като всяка от тях е допринесла за части от основната инфраструктура или модулите за измама, които печелят пари от заразените устройства, включително рекламна измама, измама с кликове и създаване и експлоатация на ботнет в 222 страни и територии. Това поне дава някаква представа за мащаба на тази кампания.

Сега Стюърт Соломон, главен изпълнителен директор на Human Security, предложи следното изявление:

"Аплодираме решителните действия на Google срещу киберпрестъпниците, стоящи зад ботнета BadBox 2.0, който нашият екип разкри. Това премахване е значителна крачка напред в продължаващата борба за защита на интернет от сложни измамни операции, които отвличат устройства, крадат пари и експлоатират потребителите без тяхно знание. Мисията на Human е да защитава целостта на цифровата екосистема, като прекъсва киберпрестъпността в голям мащаб, и това усилие е пример за силата на колективната защита. Гордеем се, че сме участвали активно в тази операция, работейки в тясно сътрудничество с Google, TrendMicro и Shadowserver Foundation. Тяхното сътрудничество беше безценно, за да ни помогне да разкрием и неутрализираме тази заплаха.“

ФБР препоръчва на потребителите на Android да бъдат нащрек за редица потенциални признаци, че вашето смарт устройство, произведено в Китай, може да е заразено с зловреден софтуер BadBox 2.0 като:

- Всяко изискване за деактивиране на услугите на Google Play Protect.
- Всяко стрийминг устройство, което се рекламира като напълно отключено или способно да предоставя напълно безплатно съдържание.
- Всяко устройство, което е от неизвестна марка.
- Използването на неизвестни и неофициални пазари за приложения, където софтуерът трябва да се изтегли по време на настройката.
- Всякакъв необясним или подозрителен интернет трафик.

Когато става въпрос за смекчаване на риска, съветът е ясен: потребителите трябва да помислят дали направо да не изключат подозрителните устройства от мрежите си, заяви ФБР.

Снимка: Unsplash

Виж още: DLSS 4: Как Nvidia направи невъзможното за гейминга с лаптоп