摘要：尽管最近有一次试图破坏德国境内运行的 Sinkhole 行动，但 BadBox Android 恶意软件僵尸网络在全球范围内的感染设备数量已增至超过192,000台。

尽管最近有一次试图破坏德国境内运行的 Sinkhole 行动，但 BadBox Android 恶意软件僵尸网络在全球范围内的感染设备数量已增至超过192,000台。

BitSight 的研究人员警告称，该恶意软件目前正在感染更知名和值得信赖的品牌，如 Yandex 电视和HX智能手机。

BadBox 是一种 Android 恶意软件，据信基于“Triada”恶意软件家族，它通过针对固件的供应链攻击、不正当的员工或在进入产品分销阶段时进行注入来感染不知名制造商生产的设备。

它最早是在 2023 年初，加拿大安全顾问 Daniel Milisic 从亚马逊购买的 T95 Android 电视盒上发现的。从那时起，该恶意软件已经扩展到其他在线销售的无名产品。

BadBox 活动的目标是获取经济利益，其方法是将设备变成住宅代理或使用它进行广告欺诈。然后，这些住宅代理可以出租给其他用户，在许多情况下是网络犯罪分子，他们使用您的设备作为代理进行攻击或其他欺诈活动。

此外，BadBox恶意软件还可用于在Android设备上安装额外的恶意负载，从而实现更危险的操作。

恶意软件活动流程，来源：BitSight

上周，德国联邦信息安全局 (BSI)宣布，他们已在该国捣毁了 BadBox 恶意软件的行动，此前该恶意软件的一个命令和控制服务器瘫痪，切断了 30,000 台 Android 设备的通信。

这些设备主要是基于 Android 的数码相框和流媒体盒，但 BSI 警告称，BadBox 很可能出现在更多产品类别中。

BitSight 的新报告证实，尽管德国警方采取了行动，但 BadBox 行动仍在继续发展，研究人员发现该 Android 恶意软件安装在 192,000 台智能电视和HX智能手机上。

据 BitSight 研究员 Pedro Falé 称，这家网络安全公司能够破坏 BadBox 恶意软件操作所使用的其中一台C2服务器。

由于研究人员现在控制了域名，他们可以看到设备何时尝试连接该域名，从而可以了解有多少个唯一 IP 地址受到影响。

Falé 写道：“事实是，BADBOX 似乎仍然活跃且正在蔓延。”

“当 Bitsight 成功攻陷 BADBOX 域名并 在 24 小时内注册了超过 160,000 个唯一 IP 时，这一点就显而易见了。而且，这个数字还在稳步增长。”

检测到的设备数量远高于之前认为的该僵尸网络的峰值，约有 74,000 台受感染的设备。

其中约16万台受感染的设备是俄罗斯非常流行的Yandex 4K QLED智能电视和HX T963智能手机。

BitSight 解释道：“受影响的型号从 YNDX-00091 到 YNDX-000102 都是知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒。”

“这是首次发现主流品牌的智能电视直接与 BadBox 命令和控制 (C2) 域进行如此大规模的通信，受影响的设备范围扩大到 Android 电视盒、平板电脑和智能手机之外。”

BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。

BitSight 还报告称，BSI 最近的行动并未影响其遥测数据，因为该行动受到地理限制，从而允许 BadBox Android 恶意软件操作继续进行。

随着 BadBox 扩展到更多主要品牌，对于消费者来说，应用最新的固件安全更新、将他们的智能设备与更关键的系统隔离以及在不使用时断开它们与互联网的连接至关重要。

如果您的设备没有可用的安全或固件更新，强烈建议您断开它们与网络的连接或将其完全关闭。

BadBox 僵尸网络感染的迹象包括由于处理器使用率过高、网络流量异常以及设备设置变化而导致的过热和性能下降。

技术报告：

新闻链接：

来源：会杀毒的单反狗