Attenti a questi dispositivi Android: potrebbero trasformare la rete di casa in una piattaforma criminale

Una nuova campagna di malware sta minacciando la sicurezza delle reti domestiche attraverso dispositivi Android a basso costo venduti in tutto il mondo. BadBox 2.0 rappresenta l'evoluzione di una minaccia già nota da tempo che ha raggiunto proporzioni preoccupanti, con oltre un milione di dispositivi compromessi distribuiti in diversi paesi del mondo.

La minaccia colpisce principalmente dispositivi basati su Android Open Source Project, non Android TV quindi, tra cui TV box per streaming, proiettori digitali, cornici digitali e sistemi di infotainment per veicoli. Questi prodotti, caratterizzati spesso da prezzi contenuti e marchi poco conosciuti, vengono fabbricati prevalentemente in Cina e distribuiti globalmente senza certificazione Play Protect di Google.

BadBox 2.0, il malware che trasforma la rete domestica in una piattaforma criminale

BadBox 2.0 utilizza due modalità principali di infezione: dispositivi pre-compromessi durante la fase di produzione oppure infezione successiva attraverso il download di app contenenti backdoor durante la configurazione iniziale. Il malware si basa su una libreria modificata chiamata libanl.so, che implementa il backdoor denominato BB2DOOR. Una volta attivato, il backdoor scarica e installa file JAR multipli responsabili del mantenimento delle comunicazioni con i server di comando e controllo, garantendo la persistenza sul dispositivo.

L'FBI ha distribuito una nota in cui si legge che i cybercriminali sfruttano questi dispositivi compromessi per creare reti proxy residenziali, mascherando attività illecite attraverso gli indirizzi IP domestici delle vittime. La distribuzione geografica della botnet vede il Brasile come paese più colpito, seguito dagli Stati Uniti con il 18,2%, Messico con il 6,3% e Argentina con il 5,3%. Human Security ha identificato oltre una dozzina di modelli specifici coinvolti, tra cui modelli riconoscibili con le sigle TV98, X96, X96Q, T95, T95Z, T95MAX, X88, Q9, X12PLUS, MXQ Pro 5G, oltre a numerose varianti di dispositivi per streaming. Le caratteristiche comuni di questi dispositivi sono che si tratta di prodotti Android a basso costo, non certificati Play Protect, prodotti principalmente in Cina e venduti con marchi poco conosciuti. L'elenco completo dei modelli è disponibile a questo indirizzo.

Le attività criminali facilitate da BadBox 2.0 includono frodi pubblicitarie attraverso il caricamento e il click automatico di annunci, attacchi di credential stuffing sfruttando gli IP delle vittime, e la fornitura di servizi proxy per mascherare comunicazioni malevole. I dispositivi compromessi possono anche essere utilizzati per distribuire ulteriore malware e condurre attacchi DDoS. Per identificare dispositivi potenzialmente compromessi, l'FBI suggerisce di verificare la presenza di marketplace di app sospetti, richieste di disabilitazione di Play Protect, dispositivi di marchi sconosciuti che promettono accesso gratuito a contenuti premium, e picchi inspiegabili nel traffico di rete.

La raccomandazione principale consiste nel disconnettere immediatamente dalla rete domestica qualsiasi dispositivo sospetto e nel monitorare costantemente il traffico internet. Nonostante le operazioni di disruption coordinate da Google, Human Security e altre organizzazioni abbiano temporaneamente interrotto le comunicazioni di oltre 500 mila dispositivi infetti, la botnet continua a crescere man mano che nuovi prodotti compromessi raggiungono i consumatori. La natura persistente della minaccia può essere risolta, insomma, solo attraverso la vigilanza costante da parte degli utenti e gli aggiornamenti regolari dei dispositivi IoT domestici.