La botnet de malware BadBox para Android ha sido desmantelada nuevamente al eliminar 24 aplicaciones maliciosas de Google Play y bloquear las comunicaciones de medio millón de dispositivos infectados.

La botnet BadBox es una operación de fraude cibernético dirigida principalmente a dispositivos Android de bajo costo, como decodificadores de TV, tabletas, televisores inteligentes y teléfonos inteligentes.

Estos dispositivos vienen precargados con el malware BadBox del fabricante o están infectados por aplicaciones maliciosas o descargas de firmware.

Luego, el malware convierte los dispositivos en servidores proxy residenciales, genera impresiones de anuncios falsos en los dispositivos infectados, redirige a los usuarios a dominios de baja calidad como parte de operaciones fraudulentas de distribución de tráfico y utiliza las direcciones IP de las personas para crear cuentas falsas y realizar ataques de robo de credenciales.

En diciembre pasado, las autoridades alemanas desmantelaron el malware en los dispositivos infectados del país. Sin embargo, unos días después, BitSight informó que el malware se había encontrado en al menos 192.000 dispositivos, lo que demuestra su resistencia a las acciones de las fuerzas del orden.

Desde entonces, se estima que la botnet ha crecido hasta superar el millón de infecciones, afectando a dispositivos Android en 222 países, la mayoría de ellos ubicados en Brasil (37,6%), Estados Unidos (18,2%), México (6,3%) y Argentina (5,3%).

HUMAN dice que encontró evidencia de que la botnet sirve y es respaldada por múltiples grupos de amenazas con roles o beneficios distintos.

Estos grupos son SalesTracker (gestión de infraestructura), MoYu (desarrollo de backdoor y botnet), Lemon (campañas de fraude publicitario) y LongTV (desarrollo de aplicaciones maliciosas).

Los dispositivos Android infectados con el malware BadBox se conectarán rutinariamente a servidores de comando y control controlados por el atacante para recibir nuevas configuraciones y comandos para ejecutar en el dispositivo infectado.

Cuando se bloquea un dominio, los investigadores lo controlan, lo que les permite monitorear todas las conexiones realizadas por los dispositivos infectados a ese dominio y recopilar datos sobre la botnet. Como los dispositivos infectados ya no pueden conectarse con los dominios controlados por los atacantes, el malware pasa a un estado inactivo, lo que interrumpe efectivamente la infección.

HUMAN dice que también descubrió 24 aplicaciones de Android en la tienda de aplicaciones oficial, Google Play, que instalaron el malware BadBox en dispositivos Android. Algunas aplicaciones, como ‘Earn Extra Income’ y ‘Pregnancy Ovulation Calculator’ de Seekiny Studio, tuvieron más de 50,000 descargas cada una.

Google eliminó las aplicaciones de Google Play y agregó una regla de cumplimiento de Play Protect para advertir a los usuarios y bloquear la instalación de aplicaciones asociadas con BadBox 2.0 en dispositivos Android certificados.

Además, el gigante tecnológico ha cancelado las cuentas de los editores que participaron en fraudes publicitarios asociados con la operación BadBox, lo que impidió la monetización a través de Google Ads.

Sin embargo, es importante señalar que Google no puede desinfectar los dispositivos Android no certificados por Play Protect que se venden en todo el mundo, por lo que, si bien BadBox 2.0 se ha visto interrumpido, no se ha eliminado.

En última instancia, mientras los consumidores compren dispositivos Android basados en AOSP, como los decodificadores de TV de otras marcas, que carecen de compatibilidad oficial con los servicios de Google Play, corren el riesgo de utilizar hardware precargado con malware.