Setidaknya empat aktor ancaman yang berbeda telah diidentifikasi sebagai terlibat dalam versi terbaru dari penipuan iklan besar -besaran dan skema proxy perumahan yang disebut Badbox, melukis gambar ekosistem kejahatan dunia maya yang saling berhubungan.
Ini termasuk Salestracker Group, Moyu Group, Lemon Group, dan LongTV, menurut temuan baru dari Tim Ancaman dan Peneliti Ancaman Satori Manusia, yang diterbitkan bekerja sama dengan Google, Trend Micro, Shadowserver, dan mitra lainnya.
“Operasi penipuan yang kompleks dan luas” telah diberi nama kode Badbox 2.0. Ini telah digambarkan sebagai botnet terbesar dari perangkat TV yang terhubung (CTV) yang terinfeksi yang pernah terungkap.
“Badbox 2.0, seperti pendahulunya, dimulai dengan backdoors di perangkat konsumen berbiaya rendah yang memungkinkan aktor ancaman untuk memuat modul penipuan dari jarak jauh,” kata perusahaan itu. “Perangkat ini berkomunikasi dengan server perintah-dan-kontrol (C2) yang dimiliki dan dioperasikan oleh serangkaian aktor ancaman yang berbeda namun kooperatif.”
Aktor ancaman diketahui mengeksploitasi beberapa metode, mulai dari kompromi rantai pasokan perangkat keras hingga pasar pihak ketiga, untuk mendistribusikan apa yang tampaknya merupakan aplikasi jinak yang berisi fungsionalitas “loader” yang diam-diam untuk menginfeksi perangkat dan aplikasi ini dengan pintu belakang.
Backdoor selanjutnya menyebabkan perangkat yang terinfeksi menjadi bagian dari botnet yang lebih besar yang disalahgunakan untuk penipuan iklan terprogram, klik penipuan, dan menawarkan layanan proxy perumahan ilegal –
- Iklan Tersembunyi dan Meluncurkan Webviews Tersembunyi untuk Menghasilkan Pendapatan Iklan Palsu
- Navigasi ke domain berkualitas rendah dan mengklik iklan untuk keuntungan finansial
- Merutekan lalu lintas melalui perangkat yang dikompromikan
- Menggunakan jaringan untuk pengambilalihan akun (ATO), pembuatan akun palsu, distribusi malware, dan serangan DDOS
Sebanyak satu juta perangkat, terutama terdiri dari tablet Android yang murah, kotak TV (CTV) yang terhubung, proyektor digital, dan sistem infotainment mobil, diperkirakan telah menjadi mangsa skema Badbox 2.0. Semua perangkat yang terkena dampak diproduksi di daratan Cina dan dikirim secara global. Mayoritas infeksi telah dilaporkan di Brasil (37,6%), Amerika Serikat (18,2%), Meksiko (6,3%), dan Argentina (5,3%).
Operasi tersebut telah sebagian terganggu untuk kedua kalinya dalam tiga bulan setelah jumlah domain Badbox 2.0 yang dirahasiakan telah menjadi lubang pembuangan dalam upaya untuk memotong komunikasi dengan perangkat yang terinfeksi. Google, untuk bagiannya, menghapus satu set 24 aplikasi dari Play Store yang mendistribusikan malware. Sebagian dari infrastrukturnya sebelumnya diturunkan oleh pemerintah Jerman pada bulan Desember 2024.
“Perangkat yang terinfeksi adalah perangkat proyek Open Source Android, bukan perangkat OS TV Android atau Play Protect Perangkat Android Bersertifikat,” kata Google. “Jika perangkat tidak bersertifikat Protect Play, Google tidak memiliki catatan keamanan dan hasil tes kompatibilitas. Putar Perangkat Android yang bersertifikat Protect menjalani pengujian yang luas untuk memastikan kualitas dan keselamatan pengguna.”
Backdoor yang membentuk inti dari operasi ini didasarkan pada malware Android yang dikenal sebagai Triada. BB2Door dengan kode, ini diperbanyak dalam tiga cara berbeda: komponen yang telah dipasang sebelumnya pada perangkat, diambil dari server jarak jauh ketika di-boot untuk pertama kalinya, dan diunduh melalui lebih dari 200 versi aplikasi populer yang trojanisasi dari toko pihak ketiga.
Dikatakan sebagai hasil karya dari gugus ancaman bernama Moyu Group, yang mengiklankan layanan proxy perumahan yang dibangun di atas perangkat yang terinfeksi Badbox 2.0. Tiga kelompok ancaman lainnya bertanggung jawab untuk mengawasi aspek skema lainnya –
- Salestracker Group, yang terhubung ke operasi Badbox asli serta modul yang memantau perangkat yang terinfeksi
- Lemon Group, yang terhubung ke layanan proxy perumahan berdasarkan Badbox dan kampanye penipuan iklan di jaringan situs web game HTML5 (H5) menggunakan Badbox 2.0
- Longtv, sebuah perusahaan internet dan media Malaysia yang dua lusin aplikasi berada di belakang kampanye penipuan iklan berdasarkan pendekatan yang dikenal sebagai “kembar jahat”
“Kelompok -kelompok ini terhubung satu sama lain melalui infrastruktur bersama (server C2 Common) dan ikatan bisnis historis dan saat ini,” kata Human.
Iterasi terbaru merupakan evolusi dan adaptasi yang signifikan, dengan serangan juga mengandalkan aplikasi yang terinfeksi dari toko aplikasi pihak ketiga dan versi malware yang lebih canggih yang mencakup memodifikasi perpustakaan Android yang sah untuk mengatur kegigihan.
Menariknya, ada beberapa bukti yang menyarankan tumpang tindih antara BB2Door dan VO1D, malware lain yang diketahui secara khusus menargetkan kotak TV berbasis Android di luar merek.
“Ancaman Badbox 2.0 khususnya tidak menarik dalam hal yang tidak kecil karena sifat operasi musim terbuka,” tambah perusahaan. “Dengan pintu belakang di tempat, perangkat yang terinfeksi dapat diinstruksikan untuk melakukan serangan cyber yang dikembangkan aktor ancaman.”
Pengembangan datang ketika Google menghapus lebih dari 180 aplikasi Android yang mencakup 56 juta unduhan untuk keterlibatan mereka dalam skema penipuan iklan canggih yang dijuluki uap yang memanfaatkan aplikasi Android palsu untuk menggunakan iklan video interstitial layar penuh yang tak ada habisnya, per laboratorium ancaman IAS.
Ini juga mengikuti penemuan kampanye baru yang menggunakan situs umpan bertema Deepseek untuk menipu pengguna yang tidak curiga agar mengunduh malware perbankan Android yang disebut OCTO.
