A Badbox nevű rosszindulatú program, amely tavaly több millió Android-alapú eszközt fertőzött meg, ismét aktív. A Google is reagált.

A biztonsági szakértők aggodalmukat fejezték ki, mivel a kártevő mostanra Android-alapú okostévékre, TV-dobozokra, okostelefonokra, autós szórakoztató rendszerekre és egyéb eszközökre is kiterjesztette hatókörét.

A Badbox újjáéledése

A Badbox először tavaly került reflektorfénybe, amikor kiderült, hogy több mint 20 millió nyílt forráskódú Androidot futtató TV-dobozt fertőzött meg. Az érintett eszközök közé tartozott mintegy 30 ezer Németországban forgalmazott eszköz is, amelyek ellen a német hatóságok aktívan felléptek.

A Flatpanels HD szakmai weboldal szerint ennek ellenére a Bitsight biztonsági kutatói most egy új Badbox-változatot azonosítottak, amely nemcsak tovább él, hanem még fejlettebb és veszélyesebb is, mint korábban.

„Ezt a botnetet halottnak hittük, de nemcsak hogy tovább működik, hanem a korábban feltételezettnél nagyobb és sokoldalúbb lett” – nyilatkozta Pedro Falé, a Bitsight fenyegetéskutatója.

Új célpont: okostévék

Az új változat már nemcsak TV-dobozokat és mobileszközöket, hanem Android-alapú okostévéket is megcéloz. Különösen érintettek az olyan eszközök, amelyek nem hivatalos Android TV-t vagy Google TV-t használnak, hanem az Android nyílt forráskódú változatát. Egyes jelentések szerint egy népszerű márka YNDX-00091-től YNDX-000102-ig terjedő modelljei, amelyek 4K felbontású Smart TV-k, közvetlenül kommunikálnak a Badbox parancs- és vezérlési szervereivel (C2), ami eddig nem tapasztalt szintre emeli az érintett eszközök körét.
A legnagyobb számú fertőzés Oroszországban, Kínában, Indiában, Fehéroroszországban, Brazíliában és Ukrajnában történt.

Mit csinál a Badbox?

A Badbox a fertőzött eszközöket többféle célra használja ki, beleértve:

• Lakossági proxyként való használatot: hátsóajtós hozzáféréssel, kilépési pontként.
• Távoli kódtelepítést: a felhasználó tudta nélkül.
• Fiókokkal való visszaélést és hirdetési csalást.
• A legnagyobb aggodalmat az okozza, hogy az új kód távolról, a felhasználók tudta nélkül tölthető be az eszközökre.

A Google álláspontja

A Google reagált a biztonsági jelentésekre, hangsúlyozva, hogy a fertőzött eszközök többsége nem rendelkezik Play Protect-tanúsítvánnyal.

„Ezek nem Play Protect-tanúsítvánnyal rendelkező Android-eszközök, így a Google nem végez biztonsági tesztelést ezeken. Az ilyen eszközök nem felelnek meg a hivatalos biztonsági szabványoknak. A Play Protect tanúsítvánnyal rendelkező eszközöket szigorúan teszteljük, és az Android TV oldalán található partnerlistán ellenőrizheti, hogy az Ön eszköze tanúsítvánnyal rendelkezik-e” – nyilatkozta a Google szóvivője.

Hogyan védekezhetünk?

A szakértők szerint az érintett felhasználóknak:

• Ellenőrizniük kell, hogy eszközük Play Protect-tanúsítvánnyal rendelkezik-e.
• Frissíteniük kell az eszköz szoftverét, ha elérhető frissítés.
• Kerülniük kell az ismeretlen forrásokból származó alkalmazások telepítését.

A Badbox jelenléte rávilágít a nyílt forráskódú rendszerek sebezhetőségére, és arra, hogy a hivatalos biztonsági intézkedések mennyire fontosak a modern technológiai környezetben.