Más de 1 Millón de Dispositivos Android Comprometidos por Puerta Trasera Oculta

Un equipo de investigadores de ciberseguridad ha descubierto y parcialmente interrumpido una gran operación de fraude llamada BADBOX 2.0, que involucraba una red de bots de más de un millón de dispositivos infectados basados en Android.

La operación, una evolución de la campaña original BADBOX expuesta en 2023, se basó en puertas traseras preinstaladas en dispositivos de consumo de bajo coste y no certificados para facilitar las actividades de los ciberdelincuentes.

La investigación, liderada por el equipo de Inteligencia y Investigación de Amenazas Satori de HUMAN, en colaboración con Google, Trend Micro, Shadowserver y otros socios, reveló pruebas contundentes que vinculan a los perpetradores detrás de BADBOX con la expansión del esquema BADBOX 2.0.

Este esquema se basa en la operación BADBOX original revelada en 2023 y representa la botnet más extensa de dispositivos de TV conectados (CTV) infectados jamás identificada, comprometiendo a más de un millón de dispositivos Android de bajo costo y no certificados en todo el mundo.

BADBOX 2.0 explota las puertas traseras en electrónica de consumo como tabletas de marcas desconocidas, cajas de CTV y proyectores digitales para desplegar módulos de fraude de forma remota. Estos dispositivos se conectan a servidores de comando y control (C2) gestionados por múltiples grupos de cibercriminales.

La infección se propaga a través de cadenas de suministro comprometidas, malware preinstalado o descargas de aplicaciones de terceros, permitiendo a los atacantes tomar el control de los dispositivos de usuarios desprevenidos.

Una vez infectados, estos dispositivos se convierten en parte de una vasta red de bots utilizada para actividades fraudulentas. Los atacantes los utilizan para el fraude publicitario mediante la ejecución de anuncios ocultos y la simulación de interacción, el fraude por clics al dirigir tráfico a dominios falsos y la navegación automatizada para inflar el tráfico de sitios web.

La red de bots también permite a los ciberdelincuentes vender el acceso a las direcciones IP de dispositivos infectados para servicios de proxy residenciales, facilitando la toma de cuentas, la creación de cuentas falsas y la elusión de sistemas de autenticación.

Además, los dispositivos comprometidos se utilizan en ataques DDoS, distribución de malware y robo de contraseñas de un solo uso (OTP), permitiendo a los atacantes secuestrar cuentas de usuario.

El malware que alimenta BADBOX 2.0 manipula el comportamiento y las métricas de compromiso del usuario a través de anuncios ocultos y navegación automatizada, generando ingresos publicitarios fraudulentos y distorsionando el ecosistema de publicidad digital.

Investigadores HUMAN identificaron cuatro grupos principales de ciberdelincuentes involucrados en la operación. El Grupo SalesTracker administró la infraestructura de BADBOX y su expansión, mientras que el Grupo MoYu desarrolló el backdoor, operó la botnet y llevó a cabo una campaña de fraude por clic.

El Grupo Lemon estaba vinculado a servicios de proxy residenciales y sitios web de juegos en línea fraudulentos, y LongTV desarrolló aplicaciones maliciosas de CTV para facilitar el fraude publicitario oculto.

HUMAN y sus socios han interrumpido partes clave de BADBOX 2.0 al monitorear su infraestructura y tomar acciones específicas. Google eliminó las cuentas de los editores afiliados a BADBOX y fortaleció Google Play Protect para bloquear el malware asociado durante la instalación.

Para reducir la exposición, se recomienda a los usuarios comprobar si sus dispositivos están certificados por Google Play Protect y evitar los dispositivos Android no certificados.