(https://www.bleepstatic.com/content/hl-images/2024/12/19/android-malware-botnet.jpg)
Google ha presentado una demanda contra los operadores anónimos de la botnet de malware BadBox 2.0 para Android, acusándolos de ejecutar un esquema global de fraude publicitario contra las plataformas publicitarias de la compañía.
La botnet de malware BadBox 2.0 es una operación de ciberdelincuencia que utiliza dispositivos Android Open Source Project (AOSP) infectados, incluyendo televisores inteligentes, dispositivos de streaming y otros dispositivos conectados que carecen de protecciones de seguridad, como Google Play Protect.
Estos dispositivos se infectan cuando los atacantes compran dispositivos AOSP de bajo costo, modifican el sistema operativo para incluir el malware BadBox 2 y luego los revenden en línea, o engañan a los usuarios para que descarguen e instalen aplicaciones maliciosas que contienen el malware.
El malware se convierte entonces en una puerta trasera que se conecta a los servidores de comando y control (C2) operados por los atacantes, donde recibe comandos para ejecutarse en el dispositivo.
Una vez comprometidos, los dispositivos pasan a formar parte de la botnet BadBox 2.0, donde se convierten en servidores proxy residenciales que se venden a otros ciberdelincuentes sin el conocimiento de las víctimas o se utilizan para cometer fraudes publicitarios.
La demanda de Google se centra principalmente en el componente de fraude publicitario, que la botnet suele llevar a cabo contra las plataformas publicitarias de la compañía.
Este fraude publicitario se realiza de tres maneras:
Procesamiento oculto de anuncios: Se instalan aplicaciones falsas "gemelas malvadas" en dispositivos infectados para cargar anuncios ocultos en segundo plano en sitios web controlados por el atacante con anuncios de Google, lo que genera ingresos publicitarios fraudulentos.
Sitios web de juegos: Se instruye a los bots para que inicien navegadores web invisibles y jueguen a juegos manipulados que activan rápidamente las visualizaciones de anuncios de Google. Cada visualización de anuncio genera ingresos para las cuentas de editor controladas por el atacante.
Fraude de clics en anuncios de búsqueda: Se instruye a los bots para que realicen consultas de búsqueda en sitios web operados por el atacante que utilizan AdSense para búsqueda, generando ingresos publicitarios a partir de los anuncios que se muestran en los resultados de búsqueda obtenidos.
En diciembre de 2024, Alemania desmanteló la botnet BadBox original después de que el país bloqueara la comunicación entre los dispositivos infectados y su infraestructura de comando y control (C2) mediante la supresión de consultas DNS.
Sin embargo, esto no detuvo la actividad criminal, ya que los actores de amenazas lanzaron rápidamente BadBox 2.0, que se cree que infectó más de 10 millones de dispositivos Android hasta abril de 2025. La denuncia de Google indica que hay más de 170.000 dispositivos infectados solo en el estado de Nueva York.
La denuncia de Google afirma que ya ha cancelado miles de cuentas de editores vinculadas a la operación, pero advierte que la botnet continúa creciendo y representa un riesgo creciente para la ciberseguridad.
"Si no se desmantela el esquema BadBox 2.0, seguirá proliferando", advierte Google.
BadBox 2.0 Enterprise seguirá generando ingresos y los utilizará para expandir su alcance, produciendo nuevos dispositivos y malware para impulsar su actividad delictiva. Google se verá obligado a seguir invirtiendo importantes recursos financieros para investigar y combatir la actividad fraudulenta de la empresa.
Dado que se desconoce el paradero de los demandados y se cree que residen en China, Google solicita una indemnización al amparo de la Ley de Fraude y Abuso Informático y la Ley de Organizaciones Corruptas e Influenciadas por el Crimen Organizado (RICO).
La empresa solicita una indemnización por daños y perjuicios y una orden judicial permanente para desmantelar la infraestructura del malware y evitar su propagación.
La demanda incluye una lista de más de 100 dominios de internet que forman parte de la infraestructura de la operación de ciberdelincuencia.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/google-sues-to-disrupt-badbox-20-botnet-infecting-10-million-devices/