Botnet BADBOX 2.0 infecta 1 milhão de aparelhos Android; 37% estão no Brasil

por | |

Uma operação massiva de fraude chamada BADBOX 2.0 já comprometeu mais de 1 milhão de dispositivos Android em todo o mundo, com o Brasil liderando o ranking de infecções com impressionantes 37,6% dos casos. A descoberta foi feita pela equipe de Pesquisa e Inteligência de Ameaças da Human Satori, que descreve o ataque como “a maior botnet de dispositivos CTV (TV conectada) infectados já descoberta”.

  • Hacker quebra criptografia do ransomware Akira usando GPUs GeForce RTX 4090
  • Hackers burlam filtro de spam com código oculto e aplicam golpes por e-mail

O esquema, que é uma evolução da operação BADBOX original divulgada em 2023, possui uma estrutura complexa envolvendo quatro grupos distintos de criminosos que trabalham de forma colaborativa. Por meio de backdoors instalados em dispositivos Android de baixo custo, os atacantes conseguem instalar módulos de fraude remotamente e transformar os aparelhos em nós de uma enorme rede para realizar diversos tipos de ataques.

Os pesquisadores alertam que o BADBOX 2.0 representa uma ameaça crítica à segurança digital, pois vai além de simples fraudes publicitárias. O esquema utiliza os dispositivos infectados para criar serviços de proxy residencial sem consentimento dos usuários, facilitando desde ataques de tomada de conta (ATO) e criação de contas falsas até distribuição de malware e roubo de senhas de uso único (OTP), expondo consumidores e empresas a riscos significativos.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

BADBOX 2.0 ataca principalmente aparelhos Android baratos

O BADBOX 2.0 atinge principalmente dispositivos Android de baixo custo, não certificados pelo Google Play Protect e baseados em Android Open Source Project (AOSP). Entre os aparelhos vulneráveis estão TV boxes, tablets, projetores digitais e sistemas de entretenimento para veículos, todos fabricados na China e distribuídos para todo o mundo.

Visão geral da execução do backdoor BB2DOOR usado pelo BADBOX 2.0 (Imagem: Reprodução/Human Security)

O componente central do ataque é um backdoor sofisticado que os pesquisadores batizaram de BB2DOOR. Ele opera por meio de uma biblioteca chamada libanl.so (Android Native Library), que os criminosos modificaram para implantar mecanismos de persistência e comunicação com servidores de comando e controle (C2). Uma vez instalado, o backdoor baixa e instala arquivos JAR responsáveis por manter comunicação com servidores remotos e garantir sua permanência no dispositivo.

“O backdoor funciona de maneira semelhante à infecção BADBOX original: quando o dispositivo é ligado pela primeira vez, ele contata um servidor C2 e baixa um arquivo. Esse arquivo se descriptografa nos componentes responsáveis pela persistência e comunicações e configura downloads subsequentes, que são responsáveis pela fraude em si”, explica o relatório da Human Satori.

A distribuição do backdoor acontece por três métodos distintos: pré-instalado nos aparelhos durante a fabricação, baixado de servidores C2 na primeira inicialização do dispositivo ou através de downloads feitos por usuários desavisados em lojas de aplicativos não-oficiais. Esta última técnica envolve mais de 200 aplicativos “rebundled” — versões maliciosas de apps populares que foram modificados para incluir o backdoor.

A operação BADBOX 2.0 é gerenciada por quatro grupos distintos de criminosos que cooperam entre si. O SalesTracker Group, responsável pela operação BADBOX original, gerencia a infraestrutura de servidores C2. O MoYu Group desenvolveu o backdoor e coordena as variantes instaladas em diferentes dispositivos. O Lemon Group está ligado aos serviços de proxy residencial e a uma campanha de fraude publicitária, enquanto o LongTV, uma empresa de mídia da Malásia, fornece aplicativos que contêm módulos para fraudes de publicidade.

Uma vez infectados, os aparelhos podem executar diversos tipos de atividades maliciosas. O esquema mais lucrativo é a fraude publicitária, que ocorre de duas formas: renderização de anúncios ocultos no próprio dispositivo e carregamento de WebViews ocultas que navegam para sites de jogos HTML5 controlados pelos criminosos. Em ambos os casos, os fraudadores ganham dinheiro com impressões de anúncios que nunca são vistos por usuários reais.

Outra fonte de receita para os criminosos é a venda de serviços de proxy residencial por US$ 13,64 por 5 GB de dados roteados. Esta prática permite que outros criminosos usem os endereços IP dos dispositivos infectados para realizar ataques adicionais, como tomada de contas e criação de contas falsas, ocultando sua verdadeira localização.

Linha do tempo mostra histórico do BADBOX, do seu surgimento à descoberta da versão 2.0 (Imagem: Reprodução/Human Security)

Brasil lidera ranking de aparelhos infectados pela BADBOX 2.0

O Brasil é, de longe, o país mais afetado pelo esquema BADBOX 2.0, com 37,6% de todos os dispositivos infectados localizados em território nacional. Em seguida aparecem os Estados Unidos (18,2%), México (6,3%) e Argentina (5,3%). No total, os pesquisadores identificaram tráfego associado ao BADBOX 2.0 vindo de 222 países e territórios em todo o mundo.

A predominância brasileira não é por acaso. Nosso país representa um mercado ideal para este tipo de ataque devido à grande popularidade de dispositivos Android de baixo custo, especialmente TV boxes sem certificação. A combinação de alta penetração de smartphones e dispositivos conectados com preços acessíveis cria um cenário perfeito para os criminosos.

“Mais de um terço dos dispositivos infectados pelo BADBOX 2.0 observados pela Human Defense Platform estão localizados no Brasil, onde dispositivos Android Open Source Project de baixo custo são particularmente populares”, destaca o relatório da Human Satori.

BADBOX 2.0 foi identificado em 22 países em todo o mudo; mapa mostra os mais afetados, com Brasil na liderança (Imagem: Reprodução/Human Security)

Os pesquisadores também estabeleceram uma relação entre o BB2DOOR e outro malware chamado Vo1d, que já infectou 1,6 milhão de Android TVs em todo o mundo, sendo 25% delas no Brasil. Embora compartilhem algumas semelhanças, como o uso da biblioteca libanl.so, o alcance do Vo1d parece estar limitado às TV boxes e smart TVs, enquanto o BB2DOOR tem como alvo uma variedade bem maior de dispositivos.

Esta não é a primeira vez que o Brasil lidera rankings de infecção por malware. O país tem sido consistentemente um dos mais afetados por diversas campanhas de cibersegurança, refletindo tanto a popularidade de dispositivos de entrada quanto as lacunas em proteção digital.

Aprenda a se proteger da BADBOX 2.0

Proteger-se contra ameaças como a BADBOX 2.0 exige atenção redobrada, especialmente ao comprar dispositivos Android de baixo custo. A primeira e mais importante medida de proteção é verificar se o aparelho possui certificação Google Play Protect, uma garantia de que ele passou por testes rigorosos de segurança e compatibilidade.

“Se um dispositivo não é certificado pelo Play Protect, o Google não tem registro de resultados de testes de segurança e compatibilidade. Dispositivos Android certificados pelo Play Protect passam por testes extensivos para garantir qualidade e segurança do usuário”, explica o Google em comunicado sobre a ameaça.

Para os consumidores, é crucial limitar os downloads de aplicativos apenas a lojas oficiais, como a Google Play Store. Muitos dos dispositivos infectados pelo BADBOX 2.0 foram comprometidos através de aplicativos rebundled — aqueles que parecem familiares, mas foram reempacotados por criminosos para incluir componentes maliciosos e que geralmente são distribuídos por meio de APKs em plataformas não-oficiais.

Os sintomas de infecção pela BADBOX 2.0 incluem lentidão inexplicável do dispositivo, consumo elevado de dados móveis sem uso aparente, bateria esgotando mais rapidamente que o normal e o aparelho aquecendo mesmo quando não está sendo usado ativamente. Se você identificar esses sinais, é aconselhável fazer uma restauração completa para as configurações de fábrica.

Certificação do Play Protect é garantia que o dispositivo foi testado e aprovado pelo Google (Imagem: Captura de tela/Bruno De Blasi)

Para verificar se seu dispositivo Android está certificado pelo Play Protect, acesse as configurações da Google Play Store, toque em “Sobre” e procure pela seção “Certificação Play Protect”. Se o dispositivo estiver listado como “Certificado”, ele passou pelos testes de segurança do Google.

Caso já tenha adquirido um dispositivo não-certificado, mantenha-o sempre atualizado com as últimas atualizações de segurança disponibilizadas pelo fabricante, evite instalar aplicativos de fontes desconhecidas e considere a instalação de uma solução antimalware confiável.

A Human Satori alerta que, mesmo com os esforços de interrupção parcial da operação BADBOX 2.0, é provável que os criminosos continuem adaptando suas táticas:

“Os atacantes por trás do BADBOX e BADBOX 2.0 podem se adaptar novamente e relançar suas operações. Os esforços de interrupção liderados pela Human e parceiros não podem desmantelar a cadeia de suprimentos que permite que esses atacantes implantem o backdoor em dispositivos destinados a consumidores”, conclui o relatório.

Leia mais no Canaltech:

  • Site falso do CapCut é usado para espalhar malware; veja como se proteger
  • Sites de filmes piratas infectaram quase 1 milhão de PCs com malvertising
  • Alerta: botnet massiva ataca contas Microsoft 365 no Brasil e no mundo

Como proteger seus dados em redes Wi-Fi públicas? Descubra no vídeo a seguir:

 

Leia a matéria no Canaltech.

Adicionar aos favoritos o Link permanente.