Złośliwe oprogramowanie w codziennym urządzeniu
Choć może się wydawać, że inteligentny telewizor czy tani tablet to po prostu wygodne urządzenia codziennego użytku, rzeczywistość może być znacznie bardziej niepokojąca. FBI informuje, że złośliwe oprogramowanie BADBOX 2.0 od miesięcy infekuje urządzenia na całym świecie, zamieniając je w ciche narzędzia przestępczej działalności. Co więcej, nie mówimy tu o pojedynczych przypadkach – mowa o ponad milionie zainfekowanych urządzeń, które po podłączeniu do domowej sieci stają się serwerami pośredniczącymi dla hakerów. Na liście podejrzanych sprzętów dominują urządzenia sprowadzane z Chin – zwłaszcza niecertyfikowane telewizory z systemem Android, projektory, a także tablety i dekodery. W wielu przypadkach złośliwe oprogramowanie jest fabrycznie zainstalowane. W innych przypadkach do infekcji dochodzi już po zakupie – przy okazji aktualizacji systemu lub instalacji aplikacji z nieoficjalnych źródeł. W tle działa mechanizm, który dla przeciętnego użytkownika jest całkowicie niewidoczny: urządzenie łączy się z serwerami kontrolującymi botnet i zaczyna wykonywać polecenia cyberprzestępców. W praktyce oznacza to, że twój domowy IP może zostać wykorzystany do ukrywania ataków, generowania fałszywego ruchu reklamowego czy prób kradzieży danych dostępowych innych osób.
Zgodnie z informacjami przekazanymi przez zespół analityczny HUMAN Satori, BADBOX 2.0 to nie jest nowy twór – to kontynuacja znanego już złośliwego oprogramowania, które po raz pierwszy wykryto w 2023 roku w tanich, nieoznaczonych telewizorach. Wydawało się, że niemiecka interwencja w 2024 roku powstrzyma rozwój zagrożenia, ale jak się okazuje – był to jedynie chwilowy przestój. Już tydzień po zablokowaniu pierwszego botnetu, nowe wersje BADBOX pojawiły się na kolejnych dziesiątkach tysięcy urządzeń. Co gorsza – tym razem były to sprzęty bardziej znanych marek, takich jak Yandex czy Hisense.
Domowe urządzenia jako narzędzie przestępstw
Największe zagrożenie płynie z tego, że przeciętny użytkownik nie ma pojęcia, że jego urządzenie działa jako narzędzie cyberataków. W praktyce domowe IP wykorzystywane jest jako punkt wyjścia do działań przestępczych. Cyberprzestępcy zyskują w ten sposób anonimowość – ich aktywność wygląda na pozornie niewinny ruch pochodzący z prywatnych domów w Brazylii, USA, Meksyku czy Argentynie. To właśnie te kraje są obecnie epicentrami aktywności botnetu. Eksperci podkreślają, że największe ryzyko związane jest z urządzeniami, które nie posiadają certyfikatu Play Protect oraz z aplikacjami pobieranymi spoza oficjalnego sklepu Google Play. Urządzenia te często reklamowane są jako „odblokowane”, umożliwiające dostęp do darmowych treści lub nie wymagające logowania – to właśnie one są najczęściej zainfekowane. Choć z zewnątrz wyglądają zupełnie normalnie, pod powierzchnią działa oprogramowanie, które potrafi np. automatycznie generować kliknięcia w reklamy, przekierowywać ruch czy uczestniczyć w atakach typu credential stuffing – czyli próbach logowania się na konta z wykorzystaniem skradzionych haseł. Zainfekowany sprzęt trafia na rynek globalny – zarówno do użytkowników prywatnych, jak i firm. W ramach wspólnej akcji Google, Trend Micro, HUMAN i Fundacji Shadowserver udało się tymczasowo zakłócić działanie botnetu, blokując komunikację między serwerami a ponad 500 tysiącami urządzeń. Niestety, nie zatrzymało to dalszego rozprzestrzeniania się zagrożenia – każdego dnia do sieci podłączane są nowe egzemplarze.
Zalecenia FBI są jednoznaczne – należy zachować czujność przy zakupie sprzętu, unikać urządzeń nieznanych marek, nie instalować aplikacji spoza oficjalnych źródeł i monitorować domowy ruch sieciowy. Szczególną uwagę należy zwrócić na nieautoryzowane aplikacje, nagłe spowolnienia sieci, a także przypadki, gdy ustawienia Google Play Protect są domyślnie wyłączone.
