L’équipe Satori Threat Intelligence de HUMAN, en collaboration avec Google et d’autres experts, a démantelé le botnet BadBox 2.0, ciblant les appareils Android peu connus. Ce malware, souvent préinstallé, a infecté plus d’un million d’appareils, principalement au Brésil et aux États-Unis. HUMAN a retiré 24 applications malveillantes du Google Play Store, bloquant les communications avec les serveurs des hackers. Des mesures de sécurité ont été mises en place, soulignant l’importance d’utiliser des appareils certifiés pour éviter les infections.
L’équipe Satori Threat Intelligence de HUMAN a collaboré avec Google, Trend Micro, The Shadowserver Foundation et d’autres experts pour démanteler le redoutable botnet BadBox 2.0, qui cible les appareils TV connectés.
Ce botnet est alimenté par le malware BadBox, souvent préinstallé sur des appareils Android de marques peu connues, y compris des boîtiers de streaming, des téléviseurs intelligents, des tablettes et des smartphones. Les cybercriminels ont également exploité des versions multiples d’applications populaires pour introduire des portes dérobées. Heureusement, les chercheurs de HUMAN ont réussi à identifier et à retirer 24 applications malveillantes, connues sous le nom de « jumeaux malveillants », du Google Play Store.
En tout, cette initiative a permis de perturber le botnet sur plus de 500 000 appareils Android, en bloquant efficacement les communications avec les serveurs malveillants utilisés par les hackers. Les chercheurs ont pris le contrôle de milliers de domaines associés à BadBox 2.0 pour empêcher les appareils infectés de se connecter aux serveurs de commande et de contrôle (C2), tout en surveillant les activités de ce botnet.
Comprendre BadBox 2.0
BadBox 2.0 est un botnet basé sur un malware qui exploite des appareils Android de marques inconnues pour réaliser des activités malveillantes, notamment des fraudes. La version originale de BadBox avait déjà infecté 74 000 appareils avant d’être neutralisée en octobre 2023.
La nouvelle version, BadBox 2.0, a touché plus d’un million d’appareils, principalement au Brésil (37,6 %), suivis des États-Unis (18,2 %), du Mexique (6,3 %) et de l’Argentine (5,3 %).
Les appareils concernés, qui comprennent des boîtiers de streaming Android, des téléviseurs intelligents, des smartphones et d’autres dispositifs, sont souvent livrés avec le malware préinstallé par les fabricants ou infectés via des applications malveillantes. HUMAN a noté que « ces appareils font partie du projet Android Open Source, et non des appareils Android TV OS ou certifiés Play Protect. »
Une fois le malware installé, BadBox transforme ces appareils en proxies résidentiels, leur permettant de se connecter aux serveurs C2 des attaquants pour recevoir des instructions et renvoyer des données sensibles, comme des mots de passe. Ces ordres peuvent inclure des attaques de remplissage de crédentiels, la création de faux comptes, ou la redirection des utilisateurs vers des sites de faible qualité pour générer du trafic frauduleux.
Mesures de Protection Contre BadBox 2.0
Google a retiré les applications malveillantes du Play Store et a introduit des mesures de sécurité via Play Protect pour alerter les utilisateurs et empêcher l’installation d’applications liées à BadBox 2.0 sur les appareils Android certifiés.
Cependant, il est important de noter que les appareils Android non certifiés ne peuvent pas être désinfectés complètement. Pour ceux qui possèdent des appareils sur la liste de HUMAN, il est conseillé de les déconnecter d’Internet ou de les remplacer par des appareils certifiés d’une marque reconnue.
Un porte-parole de Google a déclaré : « Si un appareil n’est pas certifié Play Protect, nous n’avons pas d’enregistrement des résultats des tests de sécurité et de compatibilité. Les appareils Android certifiés subissent des tests rigoureux pour garantir la sécurité des utilisateurs. »
Pour rester en sécurité, évitez d’acheter des appareils Android basés sur AOSP, comme des boîtiers TV de marques peu connues, qui ne bénéficient pas du support officiel de Google Play Services. Assurez-vous également de garder votre firmware à jour et d’installer les derniers correctifs de sécurité sur vos appareils de streaming.
Évitez de charger des applications par sideload et privilégiez celles issues du Google Play Store ou d’autres magasins d’applications officiels. De plus, désactivez les fonctionnalités d’accès à distance sur vos appareils Android TV lorsqu’ils ne sont pas utilisés pour ajouter une couche de sécurité supplémentaire.
Enfin, il peut être judicieux d’investir dans des routeurs Wi-Fi ou des systèmes Wi-Fi maillés intégrant des logiciels de sécurité. Bien que le meilleur antivirus protège votre PC, des solutions de sécurité à l’échelle du réseau peuvent protéger tous vos appareils connectés. Pour ceux qui recherchent un boîtier Android TV fiable, le Nvidia Shield reste une option populaire malgré ses années d’existence.
Ressources Supplémentaires
- Des millions de téléviseurs Android détournés dans un botnet massif — comment vérifier si le vôtre est à risque
- Mise à jour de sécurité Android de mars de Google corrige deux vulnérabilités de haute gravité — mettez à jour maintenant
- Comparaison des logiciels antivirus de Norton et de McAfee — lequel est le meilleur ?