Nella prima campagna Badbox i truffatori hanno installato firmware dotati di backdoor nei box per lo streaming prima che finissero nelle mani dei consumatori. Badbox 2.0 segna invece un cambiamento rilevante. Al posto di concentrarsi sulla compromissione di firmware, i cybercriminali hanno fatto ricorso a malware più tradizionali a livello di software, distribuiti attraverso tattiche comuni come i download drive-by, in cui le vittime scaricano accidentalmente un programma infettato senza rendersene conto.
I ricercatori di diverse aziende affermano che la campagna sembra essere partita da un ecosistema composto da gruppi di truffatori collegati in modo vago piuttosto che da un singolo attore. Ogni gruppo ha le proprie versioni della backdoor e dei moduli malware, e distribuisce il software in vari modi. In alcuni casi le app dannose vengono preinstallate sui dispositivi compromessi, ma in molti esempi rintracciati dai ricercatori gli aggressori ingannano gli utenti per indurli a installare inconsapevolmente le applicazioni compromesse.
Il team di Human ha evidenziato in particolare una tecnica in cui i criminali informatici creano un’app innocua, come un gioco, la inseriscono nel Play Store di Google per dimostrare che è stata verificata e poi spingono gli utenti a scaricarne versioni quasi identiche ma dannose che non sono ospitate negli app store ufficiali. Secondo i ricercatori, queste app “gemelle malevoli” sono apparse almeno 24 volte, permettendo agli aggressori di portare a termine frodi pubblicitarie con le versioni di Google Play e di distribuire malware in quelle fittizie. Human ha anche scoperto che per diffondere ulteriormente le loro backdoor i truffatori hanno distribuito oltre 200 versioni compromesse e rebundle di popolari applicazioni.
All’indagine su Badbox 2.0 hanno collaborato anche i ricercatori dell’azienda di sicurezza Trend Micro, che si sono focalizzati in particolare sugli attori dietro la campagna. “La portata dell’operazione è enorme“, afferma Fyodor Yarochkin, ricercatore senior sulle minacce di Trend Micro, aggiungendo che molti dei gruppi coinvolti sembrano avere legami con le aziende cinesi nel mercato grigio della pubblicità e del marketing.
Il passato e il futuro di Badbox
Più di dieci anni fa, continua Yarochkin, in Cina ci sono state diverse cause che hanno coinvolto aziende che avevano installato plugin “silenziosi” sui dispositivi per poi utilizzarli in una serie di attività apparentemente fraudolente. “Le aziende che sono sopravvissute a quel periodo nel 2015 sono quelle che si sono adattate“, spiega il ricercatore, sottolineando che le sue indagini ora hanno identificato molteplici “entità commerciali” cinesi che sembrano essere associate ad alcuni dei gruppi coinvolti in Badbox 2.
Human, Trend Micro e Google hanno anche collaborato con Shadow server, un’organizzazione che analizza le attività pericolose sul web, per eliminare quanto più possibile dell’infrastruttura di Badbox 2.0. Ma considerando che i cybercriminali hanno cambiato strategia dopo che era stato reso noto lo schema originale di Badbox, i ricercatori avvertono che è improbabile che la scoperta di Badbox 2.0 ponga fine in modo permanente all’attività.
“Come consumatori dovreste tenere a mente che se un dispositivo è troppo economico per essere vero dovreste essere preparati al fatto che potrebbero esserci delle sorprese nascoste“, commenta Yarochkin di Trend Micro.
Questo articolo è apparso originariamente su Wired US.
Fonte : Wired
