Kantor Keamanan Informasi Federal (BSI) Jerman mengumumkan bahwa mereka telah mengganggu operasi malware yang disebut BADBOX yang sudah dimuat di setidaknya 30.000 perangkat yang terhubung ke internet dan dijual di seluruh negeri.
Dalam sebuah pernyataan yang diterbitkan awal pekan ini, pihak berwenang mengatakan mereka memutuskan komunikasi antara perangkat dan server command-and-control (C2) dengan melakukan sinkholing pada domain yang dimaksud. Perangkat yang terkena dampak termasuk bingkai foto digital, pemutar media, dan streamer, serta kemungkinan ponsel dan tablet.
“Kesamaan dari semua perangkat ini adalah bahwa mereka memiliki versi Android yang ketinggalan jaman dan dilengkapi dengan malware yang sudah diinstal sebelumnya,” kata BSI dalam siaran persnya.
BADBOX pertama kali didokumentasikan oleh tim Riset dan Intelijen Ancaman Satori HUMAN pada bulan Oktober 2023, menggambarkannya sebagai “skema aktor ancaman kompleks” yang melibatkan penerapan malware Android Triada pada perangkat Android berbiaya rendah dan tidak bermerek dengan memanfaatkan tautan rantai pasokan yang lemah.
Setelah terhubung ke internet, malware yang tertanam di perangkat dapat mengumpulkan berbagai macam data seperti kode autentikasi, dan memasang malware tambahan.
Operasi tersebut, yang dinilai beroperasi di luar Tiongkok, juga terdiri dari botnet penipuan iklan yang disebut PEACHPIT yang dirancang untuk memalsukan aplikasi Android dan iOS populer dan lalu lintas penipuan mereka sendiri dari perangkat yang terinfeksi BADBOX melalui aplikasi tersebut. Tayangan palsu tersebut kemudian dijual melalui iklan terprogram.
“Lingkaran penuh penipuan iklan ini berarti mereka menghasilkan uang dari tayangan iklan palsu di aplikasi mereka yang palsu dan palsu,” kata HUMAN saat itu. “Siapa pun dapat secara tidak sengaja membeli perangkat BADBOX secara online tanpa mengetahui bahwa perangkat tersebut palsu, mencolokkannya, dan tanpa sadar membuka malware pintu belakang ini.”
BSI mengatakan bahwa perangkat yang disusupi oleh BADBOX juga mampu bertindak sebagai layanan proxy perumahan, memungkinkan pelaku ancaman lain untuk mengarahkan lalu lintas internet mereka melalui perangkat tersebut sekaligus menghindari deteksi. Mereka juga dapat digunakan untuk membuat akun online di Gmail dan WhatsApp.
Selain menginstruksikan semua penyedia internet di negara dengan lebih dari 100.000 pelanggan untuk mengalihkan lalu lintas ke lubang pembuangan, badan tersebut juga mendesak konsumen untuk segera memutuskan sambungan perangkat yang terkena dampak dari internet.
