Badbox 2.0 Schock: 1 Million Geräte in gefährlichem Botnet gefangen!

Die Verantwortlichen hinter dem Badbox-Botnet haben nicht lange auf sich warten lassen und das neue Badbox-2.0-Botnet ins Leben gerufen, welches bereits über eine Million Geräte infiziert hat. Die ursprüngliche Badbox-Malware hatte Ende letzten Jahres bereits zahlreiche Internet-of-Things-Geräte mit AOSP-basierter Firmware (Android Open Source Project) infiziert. Im Dezember konnte das BSI die Kommunikation von 30.000 betroffenen Drohnen in Deutschland unterbrechen.

Humansecurity berichtet in einem kürzlich veröffentlichten Blog-Beitrag, dass Teile des Badbox-2.0-Netzwerks ebenfalls gestört werden konnten. Dies wurde durch die Zusammenarbeit von Humansecurity, Google, Trend Micro, Shadowserver und anderen Partnern möglich. Ähnlich wie sein Vorgänger zielt Badbox 2.0 vorrangig auf preisgünstige Endverbrauchergeräte ab. Betroffen sind mehr als eine Million nicht zertifizierte, markenlose Connected-TV-Boxen (CTV), Tablets, digitale Projektoren und andere Geräte mit AOSP-basierter Firmware. Geräte, die durch Play Protect geschützt sind oder auf dem Android TV OS laufen, sind jedoch nicht betroffen.

Ursprung der Geräte: China

Die betroffenen Geräte wurden sämtlich in China hergestellt und weltweit vertrieben, erläutern die IT-Forscher. Sie konnten Badbox-2.0-Datenverkehr aus 222 Ländern und Regionen feststellen. Besonders verbreitet ist die Malware in Brasilien (37,62 %), den USA (18,21 %) sowie in Mexiko (6,32 %). Nach der Dezember-Aktion des BSI gegen das ursprüngliche Badbox-Botnet wird für Deutschland kein nennenswerter Anteil mehr verzeichnet.

Um die Infrastruktur von Badbox 2.0 zu stören oder sogar ganz lahmzulegen, hat Google verschiedene Maßnahmen eingeleitet. Google Play Protect warnt Nutzer vor der Installation von Apps, die bekannt dafür sind, Verhalten im Zusammenhang mit Badbox aufzuweisen. Dieser Schutz ist standardmäßig auf Geräten mit Google Play Services aktiviert und warnt auch vor Apps, die außerhalb des Google Play Stores heruntergeladen und installiert werden. Nutzer von Android-Geräten sollten daher Google Play Protect aktivieren. Des Weiteren hat Google Publisher-Konten im Google-Werbe-Ökosystem deaktiviert, die mit Badbox 2.0 in Verbindung stehen. Das Unternehmen empfiehlt, zu überprüfen, ob die eigenen Geräte Google-Play-Protect-zertifiziert sind. Google stellt hierfür auch eine entsprechende Anleitung zur Verfügung.

Die Schadfunktionen von Badbox 2.0 ähneln denen des ursprünglichen Badbox: Die infizierten Geräte fungieren als sogenannte Residential Proxies, was Kriminellen ermöglicht, ihre Herkunft zu verschleiern und die infizierten Geräte als VPN-Endpunkte zu nutzen. Zudem werden Werbe- und Klickbetrug betrieben, indem im Hintergrund Webseiten aufgerufen, Anzeigen geschaltet und teilweise automatisch angeklickt werden. Technisch sind die infizierten Geräte jedoch nicht darauf beschränkt und können durch das Nachladen von APKs weiteren Schadcode ausführen. In ihrem Blog-Beitrag gehen die IT-Forscher detailliert auf diese Schadfunktionen ein und liefern auch Hinweise auf Infektionen (Indicators of Compromise, IOCs). Sie listen beispielsweise Namen von ab Werk infizierten Geräten sowie URLs von Command-and-Control-Servern (C2) auf.

Android-TV-Boxen sind offensichtlich ein bevorzugtes Ziel für Cyberkriminelle. Bereits im vergangenen September entdeckte der Virenschutzhersteller Dr. Web die Malware „Vo1d“ auf solchen Geräten. Auf etwa 1,3 Millionen Android-TV-Boxen wurde die Schadsoftware gefunden.