Operazione BadBox fermata in Germania grazie a una sinkhole

La Germania compie un passo significativo nella lotta al crimine informatico. Il Bundesamt für Sicherheit in der Informationstechnik (BSI), l’Agenzia Federale per la Sicurezza Informatica, ha annunciato di aver bloccato l’operazione BADBOX. Si tratta di un sofisticato attacco malware che ha compromesso almeno 30.000 dispositivi connessi a Internet e venduti nel Paese UE.

Un malware nascosto nei dispositivi preinstallati

BADBOX è stato rilevato su dispositivi come cornici digitali, media player e device per lo streaming multimediale. Si sospetta, però, che anche smartphone e tablet siano coinvolti. Tutti questi dispositivi, accomunati da versioni obsolete di Android, sarebbero stati distribuiti con malware preinstallato.

Grazie all’uso del sinkholing, il BSI ha interrotto le comunicazioni tra i dispositivi infetti e i loro server di comando e controllo, isolando efficacemente la minaccia. In pratica, il sinkholing re-indirizza tutto il traffico proveniente dagli IP malevoli, spostandolo verso server appositamente messi a disposizione per smaltirlo.

Le caratteristiche dell’operazione BADBOX

Documentata per la prima volta nell’ottobre 2023 dal team di ricerca Satori Threat Intelligence di HUMAN, BADBOX è stata definita una “operazione complessa”, basata su falle nella supply chain di dispositivi Android economici e di marchi poco noti. Il malware principale, Triada, consente di raccogliere dati sensibili, come codici di autenticazione, e di installare ulteriori software dannosi.

Un aspetto particolarmente preoccupante di BADBOX è la sua integrazione con un botnet per frodi pubblicitarie chiamato PEACHPIT. Questo sistema genera traffico fraudolento da app Android e iOS falsificate. “Una frode pubblicitaria in piena regola che permetteva agli operatori di guadagnare da impression fasulle generate sulle loro stesse app falsificate” ha spiegato HUMAN. Le impression rappresentano il numero di visualizzazioni.

Un rischio per la privacy e la sicurezza

I dispositivi compromessi da BADBOX possono essere utilizzati come proxy, oltre che per le frodi pubblicitarie. In questo modo altri criminali hanno la possibilità di instradare il traffico Internet usando i device compromessi, aggirando i controlli di sicurezza. Tali dispositivi, inoltre, possono creare account online su piattaforme come Gmail e WhatsApp. Questi ultimi mandano messaggi fraudolenti, aumentando i rischi per la privacy e la sicurezza.

Le azioni intraprese dal BSI

Il BSI ha emesso direttive chiare ai provider di Internet con più di 100mila abbonati, ordinando loro di reindirizzare il traffico verso la sinkhole. Inoltre, l’agenzia ha invitato i consumatori a scollegare immediatamente i dispositivi sospetti dalla rete. Questo per prevenire ulteriori compromissioni.

Occhio ai firmware compromessi

L’operazione del BSI contro BADBOX rappresenta un esempio di eccellenza nella cybersecurity. Soprattutto, mette in luce i pericoli legati a dispositivi con firmware compromesso e supply chain vulnerabili. Consumatori e aziende dovrebbero prestare maggiore attenzione nella scelta dei dispositivi tecnologici. Come? Privilegiando quelli certificati e dotati di aggiornamenti di sicurezza regolari. La collaborazione tra agenzie governative, fornitori di tecnologia e utenti finali è essenziale per garantire un ecosistema digitale più sicuro.