Medio millón de dispositivos Android fueron arrebatados de las garras de una enorme botnet

La red cibercriminal BadBox, dirigida a dispositivos Android económicos, ha vuelto a sufrir una gran disrupción. Como resultado de acciones conjuntas de investigadores de seguridad de HUMAN, Google, Trend Micro y Shadowserver, se eliminaron 24 aplicaciones maliciosas de Google Play y se bloquearon los canales de comunicación con los servidores de comando para medio millón de dispositivos infectados.

BadBox es una botnet que infecta dispositivos Android de bajo costo, incluidos TV Box (como X96mini y varios modelos de Mecool), tabletas, televisores y teléfonos inteligentes. La infección ocurre durante la fabricación o a través de la instalación de aplicaciones y firmware maliciosos. Una vez comprometidos, los dispositivos se convierten en herramientas para esquemas fraudulentos: se utilizan como servidores proxy, generan clics falsos en anuncios, redirigen a los usuarios a sitios sospechosos y participan en ataques de fuerza bruta.

A pesar de que en diciembre de 2023 las autoridades alemanas llevaron a cabo una operación contra BadBox, la botnet se recuperó rápidamente. Según BitSight, a finales de ese año ya estaba presente en al menos 192,000 dispositivos. En los meses siguientes, la infección se expandió a más de 1 millón de dispositivos en 222 países. Los mayores volúmenes de infecciones se registraron en Brasil (37.6%), EE.UU. (18.2%), México (6.3%) y Argentina (5.3%).

Los investigadores de HUMAN identificaron varias agrupaciones involucradas en el mantenimiento de BadBox. Entre ellas se encuentran SalesTracker, encargada de la infraestructura; MoYu, que desarrolla puertas traseras y gestiona la botnet; Lemon, que utiliza los dispositivos para fraude publicitario; y LongTV, responsable de la creación de aplicaciones maliciosas. Esta estructura diversificada explica la resiliencia de la botnet ante los intentos de eliminación.

Durante la última operación, los investigadores de HUMAN, junto con sus socios, tomaron el control de varios dominios utilizados por BadBox 2.0, dejando a más de 500,000 dispositivos sin conexión con los servidores de comando. Sin la capacidad de recibir nuevas instrucciones, los dispositivos infectados fueron puestos en un estado pasivo, debilitando significativamente la botnet.

Además, Google eliminó de su tienda oficial las 24 aplicaciones infectadas que distribuían BadBox. Entre ellas, curiosamente, había incluso una calculadora de ovulación para la planificación del embarazo. Muchas de estas aplicaciones habían sido descargadas más de 50,000 veces. A partir de ahora, Google Play Protect bloqueará la instalación de aplicaciones similares en dispositivos Android certificados.

A pesar de todos los esfuerzos de los expertos en ciberseguridad, eliminar por completo BadBox 2.0 es poco probable, ya que la botnet infecta principalmente dispositivos basados en Android Open Source Project (AOSP), que no cuentan con el soporte de Google Play Services. Se recomienda a los propietarios de estos dispositivos reemplazarlos por modelos de fabricantes confiables. De lo contrario, deberían desconectarlos de internet para minimizar los riesgos.