Недорогі Android-пристрої використовуються для злочинів

Головна — News — Недорогі Android-пристрої використовуються для злочинів

У червні 2025 року ФБР опублікувало повідомлення про небезпеку, в якому попередило, що десятки мільйонів бюджетних Android-пристроїв — від медіаплеєрів до інформаційно-розважальних систем у автомобілях та кишенькових проекторів — заражені шкідливим ПЗ BadBox. Після компрометації ці пристрої перетворюють домашні мережі на незаконну інфраструктуру, що використовується для розповсюдження шкідливого програмного забезпечення, проксі-сервісів, шахрайства з рекламою та прихованих командно-керуючих комунікацій.

Еволюція Triada та BadBox

Сімейство BadBox є прямим нащадком Triada, вперше задокументованого компанією Kaspersky Lab у 2016 році. Аналітики Kaspersky охарактеризували Triada як «один з найсучасніших мобільних троянів», завдяки:

Експлуатації вразливостей на рівні ядра (наприклад, Dirty Cow CVE-2016-5195 та вибіркові вразливості чіпсетів Exynos).

Перехопленню процесу Zygote, що дозволяє впроваджувати шкідливі компоненти в системні та користувацькі додатки.

Модульній архітектурі плагінів, яка підтримує приховані модулі та зашифровану доставку шкідливих компонентів.

Google відреагував у Android 7.x, виправивши вразливості для рутування та зміцнивши пісочницю Zygote, але до кінця 2018 року зловмисники почали попередньо встановлювати прошивки на основі Triada на пристрої під час виробництва. У 2019 році Google зірвав кампанію зламу постачальників, що торкнулася тисяч Android TV пристроїв без бренду, але шкідливе ПЗ знову з’явилося під назвами, такими як BigBox та, найостанніше, BadBox 2.0.

Anthropic представляє ‘Claude Gov’: ШІ-чатбот для національної безпеки

2025-06-06

Останнє попередження ФБР та координація в галузі

У березні 2025 року Google, Human Security, ФБР та кілька провайдерів Інтернету здійснили скоординовану операцію з ліквідації доменів командно-керуючого центру BadBox 2.0, що дозволило зменшити кількість заражень на понад мільйоні пристроїв. Проте у травні ФБР попередило, що нові варіанти шкідливого ПЗ залишаються активними в неконтрольованих екосистемах IoT.

«Споживачі рідко помічають ознаки компрометації. Пристрої можуть автоматично запускати сторонні магазини додатків або запитувати вас про вимкнення Play Protect», сказала спеціальний агент Лінда Робертс з кіберпідрозділу ФБР.

Ознаки компрометації включають несподіваний мережевий трафік на портах 443 і 8080 до невідомих кінцевих точок, несанкціоновані VPN-сервіси на порту 1194 та нові системні додатки з назвами com.android.sysupdate або com.secure.updater.

Технічний аналіз: руткіти, перехоплення Zygote та ланцюги експлуатації

Постійність руткітів: BadBox впроваджує свій модуль ядра під час завантаження, модифікуючи скрипт /init.rc, що забезпечує виконання коду до завантаження політик SELinux Android.

Впровадження в Zygote: Патчинг завантажувального JVM Zygote дозволяє шкідливому ПЗ запускати зловмисний код у кожному процесі додатка, уникаючи стандартного моніторингу API та користувацького простору.

Доставка зашифрованих компонентів: Комунікація C2 використовує TLS 1.3 з кастомними епхемерними параметрами Діффі-Хеллмана, що перешкоджає глибокому пакетному аналізу.

Призначення в HHS: запит на дані про безпеку вакцин CDC на фоні побоювань щодо конфіденційності

2025-06-06

Аналіз векторів атаки: мережі IoT як проксі-ботнети

Зловживання проксі-ресурсами: Компрометовані пристрої функціонують як проксі-сервери SOCKS5, анонімізуючи масові атаки на облікові дані та шахрайство з рекламою.

Шкідливі магазини додатків: Жертви отримують запити на встановлення неперевірених APK, які розширюють ботнет, включаючи модулі для криптомайнингу та DDoS-атак.

Переміщення між пристроями: Облікові дані, отримані з одного пристрою, допомагають заражати інші в тій же локальній мережі через експлуатації ADB через мережу.

Відповіді галузі та регуляторні наслідки

На початку 2025 року спільнота Android Open Source Project запропонувала впровадження обов’язкових API для апаратної атестації та більш детальних журналів перевіреного завантаження. Комісія США з комунікацій (FCC) готує нові вимоги до маркування IoT, які плануються на четвертий квартал 2025 року, зобов’язуючи сертифікувати безпеку пристроїв вартістю до 50 доларів.

В провідних компаніях безпеки, таких як Palo Alto Networks та Mandiant, опубліковані відкриті сигнатури для виявлення та правила YARA для BadBox. Команда Google Play Protect тепер позначає неперевірені зображення AOSP та запроваджує більш суворі аудити сертифікації OEM.

OpenAI зберігатиме логи ChatGPT безстроково за рішенням суду

2025-06-06

Стратегії захисту та перспективи

Експерти радять споживачам та підприємствам:

Ізолювати пристрої IoT на виділеній VLAN або гостьовій мережі.

Впровадити правила IDS/IPS, що націлені на аномальну поведінку Zygote та незвичайне використання портів.

Перевіряти цілісність прошивки через перевірене завантаження та віддалену атестацію.

Регулярно сканувати на відомі домени C2 та блокувати їх на рівні DNS.

Замінювати пристрої без бренду з невідомих джерел на обладнання, сертифіковане Google Play Protect.

«Сучасні механізми постійності та прихованості BadBox сигналізують про нову еру загроз, націлених на постачальницькі ланцюги IoT», зазначила доктор Джейн Доу, провідний аналітик шкідливого програмного забезпечення в Mandiant. «Без більш надійних апаратних довірчих основ та прозорих постачальницьких ланцюгів ця проблема лише загострюватиметься».

Оскільки ринок IoT продовжує свій стрімкий ріст, галузі потрібно знайти баланс між витратами та надійним дизайном безпеки, інакше існує ризик перетворення кожної домашньої мережі на таємну платформу для злочинної діяльності.