HackerNews 编译,转载请注明出处:
通过从 Google Play 移除 24 个恶意应用,并阻断 50 万台受感染设备的通信,BadBox Android 恶意软件僵尸网络再次被成功阻断。
BadBox 僵尸网络主要针对廉价的 Android 设备,如电视流媒体盒、平板电脑、智能电视和智能手机。这些设备要么在出厂时就预装了 BadBox 恶意软件,要么通过恶意应用或固件更新被感染。
一旦感染,这些设备就会变成住宅代理,生成虚假的广告印象,将用户重定向到低质量域名,并利用设备的 IP 地址创建虚假账户。
去年 12 月,德国当局成功阻断了该国受感染设备的恶意软件。然而,几天后,BitSight 报告称,恶意软件在至少 192,000 台设备上被发现,显示出对执法行动的抵抗能力。
据估计,该僵尸网络已增长到超过 100 万次感染,影响了 222 个国家的 Android 设备,其中大部分位于巴西(37.6%)、美国(18.2%)、墨西哥(6.3%)和阿根廷(5.3%)。
HUMAN 的 Satori 威胁情报团队与 Google、Trend Micro、Shadowserver 基金会和其他合作伙伴合作,领导了最新的阻断行动。
由于僵尸网络的规模突然扩大,HUMAN 现在将其称为“BadBox 2.0”,标志着其运营的新时代。
HUMAN 表示,受 BadBox 2.0 影响的设备包括低价的“非品牌”、未认证的平板电脑、联网电视盒、数字投影仪等。所有这些设备都是在中国大陆制造的,并销往全球。HUMAN 观察到 BadBox 2.0 相关的流量来自全球 222 个国家和地区。
HUMAN 发现,僵尸网络由多个威胁组织支持,这些组织具有不同的角色或利益。这些组织包括 SalesTracker(基础设施管理)、MoYu(后门和僵尸网络开发)、Lemon(广告欺诈活动)和 LongTV(恶意应用开发)。
受感染的设备会定期连接到攻击者控制的命令和控制服务器,以接收新的配置设置和要在受感染设备上执行的命令。
HUMAN 告诉 BleepingComputer,他们与 Shadowserver 基金会合作,对 BadBox 2.0 的域名进行了阻断,防止 50 万台受感染设备与攻击者设置的命令和控制(C2)服务器通信。
当域名被阻断时,研究人员会接管该域名,允许他们监控所有连接到该域名的受感染设备,并收集关于僵尸网络的数据。由于受感染设备无法再连接到攻击者控制的域名,恶意软件进入休眠状态,从而有效阻断了感染。
HUMAN 还发现 Google Play 中有 24 个 Android 应用安装了 BadBox 恶意软件。其中一些应用,如“Earn Extra Income”和“Pregnancy Ovulation Calculator”(由 Seekiny Studio 开发),每个应用的下载量都超过 5 万次。
Google 已将这些应用从 Google Play 中移除,并添加了一条 Play Protect 强制规则,以警告用户并阻止在认证的 Android 设备上安装与 BadBox 2.0 相关的应用。
此外,这家科技巨头已终止了参与 BadBox 活动的广告欺诈的发布商账户,防止通过 Google Ads 进行盈利。
然而,需要注意的是,Google 无法对全球销售的非 Play Protect 认证的 Android 设备进行消毒,因此虽然 BadBox 2.0 已被阻断,但并未被完全消除。
只要消费者继续购买基于 Android 开源项目(AOSP)的设备,如非品牌的电视盒,这些设备缺乏官方的 Google Play 服务支持,就存在使用预装恶意软件的硬件的风险。
对此,Google 的 Android 安全与隐私工程与保证总监 Shailesh Saini 表示:“我们很高兴与 HUMAN 合作,采取行动对抗 BadBox 操作,保护消费者免受欺诈。受感染的设备是 Android 开源项目设备,而不是 Android TV OS 设备或 Play Protect 认证的 Android 设备。”
“如果设备未获得 Play Protect 认证,Google 将不会记录安全性和兼容性测试结果。Play Protect 认证的 Android 设备会经过广泛的测试,以确保质量和用户安全。用户应确保启用了 Google Play Protect,这是 Android 的恶意软件保护功能,默认情况下在具有 Google Play 服务的设备上启用。”
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
