Satori Threat Intelligence tim kompanije HUMAN Security otkrio je sofisticiranu operaciju malicioznog softvera nazvanu “BADBOX 2.0” koja je kompromitovala preko 50.000 Android uređaja koristeći 24 obmanjujuće aplikacije.
Ova operacija predstavlja veliku ekspanziju originalne BADBOX kampanje koja je prvi put identifikovana 2023. godine, prema istraživačima koji su sarađivali sa Google-om, Trend Micro-om i Shadowserverom da bi dijelimično poremetili prijetnju.
Maliciozni softver prvenstveno je ciljao jeftine, “off-brand” Android Open Source Project uređaje, uključujući povezane TV kutije, tablete, digitalne projektore i informativno-zabavne sisteme u vozilima.
Uređaji su zaraženi preko sofisticiranog backdoor-a koji su istraživači nazvali “BB2DOOR”, koji je hakerima omogućio uporan privilegovani pristup kompromitovanim sistemima.
Istraživači Satori Threat Intelligence tima kompanije HUMAN Security identifikovali su četiri različite grupe hakera uključenih u operaciju: SalesTracker Group, MoYu Group, Lemon Group i LongTV.
Ove grupe su sarađivale kroz zajedničku infrastrukturu i poslovne veze kako bi implementirale više šema prevare, uključujući stambene proxy usluge, programske prevare s oglasima i prevare klikova.
Backdoor je radio tako što je učitao malicioznu biblioteku pod nazivom libanl. tako da je na uređaj implementirao mehanizme prevare.
Kada se aktivira, kod bi preuzimao i instalirao više datoteka odgovornih za održavanje komunikacije sa serverima za komandu i kontrolu.
.webp)
Sljedeći isječak koda pokazuje kako je backdoor pokrenut:-
.class public Lcom/hs/App;
.super Landroid/app/Application;
.source "SourceFile"
.method static constructor ()V
.locals 2
invoke-static {}, Ljava/util/concurrent/Executors;->newSingleThreadScheduledExec
move-result-object v0
sput-object v0, Lcom/hs/App;->b:Ljava/util/concurrent/ScheduledExecutorService;
const-string v0, "anl"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
const-wide/32 v0, 0x1d4c0.webp)
24 maliciozne aplikacije funkcionisale su kao “zli blizanci” legitimnim aplikacijama u Google Play Store-u, dijeleći nazive paketa sa legitimnim “blizancima-mamcima” kako bi se pojavili legitimni u zahtjevima za oglase.
Ova obmana je omogućila hakerima da generišu lažni promet oglasa u ogromnim razmjerima, sa šemama skrivenih oglasa koje su generisale do 5 milijardi lažnih zahtjeva za ponude sedmično.
Google-ov odgovor
Google je poduzeo više akcija u borbi protiv ove prijetnje. Google Play Protect sada automatski upozorava korisnike i blokira aplikacije koje pokazuju BADBOX ponašanje u vrijeme instalacije na sertifikovanim uređajima s Google Play uslugama.
Pored toga, Google je ukinuo naloge izdavača povezane sa BADBOX 2.0 iz svog reklamnog ekosistema.
Izvor: CyberSecurityNews
