Torna l’incubo BADBOX 2.0: infettati oltre un milione di dispositivi

Ieri l’FBI ha pubblicato un avviso di sicurezza in cui avverte gli utenti del ritorno di BADBOX2.0: le nuove attività legate alla botnet hanno infettato oltre un milione di dispositivi.

BADBOX 2.0 è nata dopo che, nel 2024, il suo predecessore era stato smantellato. La nuova botnet era tornata a colpire a inizio anno e a marzo era stata nuovamente bloccata dal team Satori Threat Intelligence di HUMAN.

Le attività sono ricominciate e hanno preso di mira dispositivi consumer quali device per lo streaming TV, proiettori digitali, sistemi di infotainment per i veicoli, cornici digitali e molti altri. “I cybercriminali ottengono l’accesso non autorizzato alle reti domestiche configurando il prodotto con software malevolo prima dell’acquisto da parte dell’utente o infettando il dispositivo durante il download di applicazioni che contengono backdoor, di solito durante il processo di configurazione” spiega l’FBI. Nella prima versione della botnet, l’infezione avveniva solo prima della messa in vendita dei dispositivi.

BADBOX 2.0 conta ora più di un milione di dispositivi infetti e numerose backdoor che vengono usate dai cybercriminali per vendere l’accesso alle reti casalinghe compromesse.

Stando all’ultima analisi di Satori Threat Intelligence, i dispositivi colpiti sono tutti low-cost, non ufficiali e prodotti in Cina, e la botnet era estesa a 222 territori in tutto il mondo. L’area più colpita è il Brasile, dove i device low-cost con sistema Android Open Source Project sono molto diffusi.

L’FBI ha chiesto agli utenti di prestare la massima attenzione alla minaccia. Gli indicatori principali dell’attività della botnet includono:

• la presenza di marketplace sospetti da dove scaricare le applicazioni;
• la richiesta di disabilitare Google Play Protect;
• dispositivi generici di streaming TV in grado di accedere a contenuti gratuiti;
• la presenza di pubblicità di device IoT di brand sconosciuti;
• dispositivi Android non certificati con Play Protect;
• traffico non riconosciuto o sospetto.

Per proteggersi dalla botnet è essenziale controllare il traffico dei dispositivi connessi alla rete, cercando di identificare attività sospette, mantenere aggiornato il software di ogni device ed evitare di scaricare applicazioni da marketplace non ufficiali.