BadBox botnet inficirao oko 190,000 Android uređaja
BadBox je sofisticirani Android zlonamjerni softver koji je sposoban da obavlja različite opasne radnje kao što su kreiranje naloga za usluge elektronske pošte i messenger platformu, prevare sa oglasima, djelovanje kao rezidencijalni posrednički (eng. proxy) servis, zaobilaženje bezbjednosnih funkcija, eksfiltracija podataka i špijunaža. Sigurnosna kompanija Bitsight u svom izvještaju navodi da su otkrili da je Android zlonamjerni softver instaliran na oko 192.000 uređaja.

BadBox botnet inficirao oko 190,000 Android uređaja; Source: Bing Image Creator
BADBOX
BadBox zlonamjerni softver je prvi put identifikovan u oktobru 2023. godine, ali već mnogo duže izaziva haos. Često se nalazi na jeftinim Android uređajima kao što su pametni telefoni, TV box uređaji i drugi proizvodi, vjerovatno zbog kompromitovanja u lancu snabdijevanja. Zlonamjerni softver je duboko ukorijenjen u sistemskim datotekama, što skoro nemogućim čini uklanjanje korištenjem konvencionalnih sredstava.
Operacija BadBox, koju su otkrili sigurnosni istraživači, koristi kompromitovani upravljački softver (eng. firmware) na Android uređajima tokom proizvodnog lanca. Ovi zaraženi uređaji se zatim prodaju preko velikih prodavaca kao što su Amazon, eBay i AliExpress, čineći ih dostupnim nesvjesnim potrošačima širom sveta. Uprkos ranijim pokušajima da se ovaj botnet demontira, nedavni izvještaji pokazuju da BadBox ostaje aktivan i da je ugrozio oko 192.000 uređaja širom sveta.
Mogućnosti
Nakon pokretanja, zaraženi uređaji se povezuju sa zlonamjernim serverima za komandu i kontrolu (C2), omogućavajući zlonamjernim akterima da primjene dodatni zlonamjerni sadržaj (eng. payload) za udaljenu instalaciju modula. Ova veza im omogućava da kontrolišu kompromitovane uređaje i izvode razne opasne radnje.
Zlonamjerni softver ima širok spektra mogućnosti, tako da može da kreira naloge za usluge elektronske pošte i messenger platformu bez otkrivanja, koji se zatim koriste za širenje dezinformacija ili lažnih vesti. Ova sposobnost da se manipuliše digitalnim informacijama predstavlja značajnu prijetnju integritetu digitalne komunikacije i povjerenju javnosti.
Pored toga, BadBox je sposoban da izvrši prevaru sa oglasima pristupajući internet lokacijama u pozadini bez znanja korisnika. Ova aktivnost ne samo da košta legitimna preduzeća prihoda, već doprinosi i ukupnom pretrpanom i nametljivom digitalnom okruženju za korisnike.
Što je još alarmantnije, BadBox zlonamjerni softver može da djeluje kao rezidencijalni posrednički servis, čineći internet vezu korisnika dostupnom nepoznatim trećim licima. Ovi subjekti ga zatim mogu koristiti za kriminalne aktivnosti kao što su sajber napadi ili distribucija nelegalnog sadržaja. Ovaj aspekt BadBox je posebno zabrinjavajući, jer omogućava zlonamjernim akterima da iskoriste ogromnu mrežu korisnika koji ništa ne sumnjaju da izvrše svoje zlonamjerne aktivnosti.
Ciljanje i uticaj
BadBox zlonamjerni softver, posljednjih godina cilja na Android uređaje na globalnom nivou, a regioni koji su najviše pogođeni bili su Rusija, Kina, Indija, Bjelorusija, Brazil i Ukrajina. Kada je riječ o pogođenim brendovima, Yandex Smart TV modeli i Hisense pametni telefon zajedno čine 85% zabilježenih infekcija uređaja, što sugeriše širenje fokusa van zone nebrendiranih uređaja. Implikacije ovog razvoja su značajne, jer povećava potencijal za široko rasprostranjenu infekciju i dodatno komplikuje napore za efikasnu borbu protiv zlonamjernog softvera.
U nastojanju da se izbori sa ovim zlonamjernim softverom, kompanija Bitsight je sprovela operaciju potonuća (eng. sinkholing) BadBox domena, posmatrajući saobraćaj sa 160.000 jedinstvenih IP adresa u roku od 24 sata. Ovaj broj je nastavio da stalno raste. Međutim, uticaj takvih operacija je često ograničen zbog njihovog geografskog obima, kao što je demonstrirala njemačka Savezna kancelarija za bezbjednost informacija (ger. Bundesamt für Sicherheit in der Informationstechnik – BSI) u decembru 2024. godine kada su poremetili BadBox varijantu koja je uticala na 30.000 uređaja, čime je BadBox zlonamjerni softver bio privremeno onemogućen.
ZAKLJUČAK
BadBox zlonamjerni softver predstavlja ogromnu i rasprostranjenu prijetnju korisnicima Android uređaja širom sveta. Ovaj sofisticirani zlonamjerni softver je duboko ugrađen u sistemske datoteke tokom proizvodnje, što ga čini teškim za uklanjanje konvencionalnim sredstvima. Njegove mogućnosti su alarmantno raznolike, u rasponu od kreiranja neprimjetnih naloga za usluge elektronske pošte i messenger platformu do širenja lažnih vesti, vršenja prevare u reklamama, djelovanja kao rezidencijalni posrednički servis i omogućavanja sajber napada i distribucije nelegalnog sadržaja.
BadBox botnet je već zarazio oko 192.000 uređaja širom sveta, a među žrtvama su brendovi kao što su Yandex i Hisense. Ovo naglašava rastuću sofisticiranost zlonamjernih aktera i naglašava važnost povjerenja dobavljača i partnera za ublažavanje rizika od ugrožavanja podataka i potencijalne umješnosti u zlonamjerne aktivnosti.
S obzirom na rasprostranjenu prirodu BadBox zlonamjernog softvera, ključno je primijeniti robusne strategije za ublažavanje i preventivne mjere. Korisnici bi trebalo da budu oprezni kada kupuju Android uređaje, obezbeđujući da dolaze iz renomiranih izvora. Redovno ažuriranje operativnog sistema takođe može pomoći u zaštiti od poznatih ranjivosti koje BadBox iskorištava tokom proizvodnje.
Za preduzeća i organizacije, primjena jakih protokola za sajber bezbjednost je od suštinskog značaja. Ovo uključuje redovna ažuriranja softvera, obuku zaposlenih o prepoznavanju potencijalnih prijetnji i robusne mjere bezbjednosti mreže za sprečavanje neovlaštenog pristupa. Kako ova globalna prijetnja nastavlja da se širi izvan jeftine elektronike, ključno je i za korisnike i za proizvođače da ostanu oprezni i proaktivni u zaštiti svoje digitalne bezbjednosti.
ZAŠTITA
Evo nekoliko praktičnih preporuka o tome kako se zaštiti od ovog ozbiljnog zlonamjernog protivnika:
- Za kupce Android uređaja je najvažnije da budu sigurni da uređaji dolaze renomiranih i poznatih proizvođača koji nude dugoročnu bezbjednosnu podršku. Izbor manje poznatih alternativa može biti jeftiniji, ali takođe otvara vrata zlonamjernim akterima da steknu uporište na uređaju, čak i mnogo prije nego što je uređaj kupljen;
- Održavanje uređaja sa najnovijim bezbjednosnim ažuriranjima i ispravkama grešaka jedan je od najefikasnijih načina zaštite od zlonamjernog softvera kao što je BadBox. Ovo osigurava da se sve ranjivosti koje se iskoriste ovom prijetnjom odmah otklone, čime se rizik od napada smanjuje;
- Investirati u pouzdano antivirusno rješenje i osigurati da se redovno ažurira. Ovi softverski programi mogu pomoći u otkrivanju i uklanjanju zlonamjernog softvera pre nego što izazovu značajnu štetu u sistemu ili ukradu osjetljive podatke;
- Obratiti pažnju na sumnjive elektronske poruke, jer se phishing elektronske poruke često koriste kao vektori za distribuciju zlonamjernog softvera kao što je BadBox. Uvijek primjenjivati oprez prilikom otvaranja priloga elektronske pošte, posebno od nepoznatih pošiljalaca, i nikada ne kliktati na veze u sumnjivim porukama, a da se prethodno ne provjeri njihova autentičnost;
- Koristiti jake, jedinstvene lozinke za sve naloge kako bi se otežalo zlonamjernim akterima da dobiju neovlašteni pristup. Razmisliti o korišćenju menadžera lozinki da bi se lakše upravljalo složenim akreditivima za prijavu;
- Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće na svojim nalozima na mreži. Ovo dodaje još jedan nivo sigurnosti tako što zahteva i lozinku i drugi oblik verifikacije, kao što je kôd poslat putem tekstualne poruke ili generisan od strane aplikacije za autentifikaciju;
- Redovno praviti rezervne kopije važnih podataka na eksternom čvrstom disku ili servisu za skladištenje u oblaku. U slučaju da sistem kompromituje zlonamjerni softver kao što je BadBox, skorašnja rezervna kopija može pomoći da se olakša oporavak;
- Važno je biti informisan o aktuelnim sajber prijetnjama i najboljim praksama za bezbjednost na mreži. Ovo uključuje razumijevanje kako da se identifikuju phishing elektronske poruke, prepoznavanje znakova zlonamjernog softvera na uređaju i znanje o koracima koji se trebaju preduzeti ako se sumnja da je došlo do napada;
- Smanjiti broj administrativnih privilegija dodijeljenih korisničkim nalozima na sistemu. Ograničavanjem pristupa osjetljivim oblastima može pomoći u sprečavanju neovlaštenih promjena ili krađe podataka ako se prijetnja poput BadBox zlonamjernog softvera infiltrira na uređaje;
- Podijeliti mrežu na manje segmente i ograničite komunikaciju između njih. Ovo otežava širenje zlonamjernog softvera kao što je BadBox na povezanim uređajima nakon što dobije pristup jednom segmentu mreže.
Prateći ove preporuke, moguće je značajno smanjiti rizik da se postane žrtva zlonamjernog softvera kao što je BadBox i da se obezbijedi da digitalna sredstva ostanu bezbjedna i sigurna u svetu koji je sve više povezan.