Le botnet formate da dispositivi Android sono molto utilizzate dai cybercriminali per le loro attività illecite. Una delle più note è BadBox. Per la seconda volta è stata messa fuori uso da un team di ricercatori, ma potrebbe essere ripristinata in futuro. Vo1d è invece ancora attiva e diventa sempre più grande.
BadBox 2.0 offline, Vo1d colpisce ancora
La prima versione di BadBox era stata smantellata dalle autorità tedesche a metà dicembre 2024. Pochi giorni dopo, gli esperti di BitSight avevano individuato il malware in oltre 192.000 dispositivi Android (TV box, smart TV, smartphone e tablet).
In circa due mesi, la botnet è diventata più grande con oltre un milione di dispositivi infettati in 222 paesi. Il team Satori Threat Intelligence di HUMAN ha smantellano BadBox 2.0 in collaborazione con Google, Trend Micro, The Shadowserver Foundation e altri partner.
Su tutti i dispositivi, prodotti in Cina, è installato Android Open Source Project, quindi non sono certificati da Google. Il malware presente sui dispositivi è stato distribuito tramite 24 app pubblicate sul Play Store (successivamente rimosse). Non essendo certificati, il malware non viene rilevato da Google Play Protect. Gli utenti dovrebbero quindi sostituirli con prodotti noti.
La botnet Vo1d è invece ancora funzionante. È composta da quasi 1,6 milioni di dispositivi (quasi tutti box Android TV). I cybercriminali hanno realizzato un’imponente infrastruttura con oltre 21.000 domini. Le comunicazioni tra i server C2 e i dispositivi sono protette dalla crittografia RSA a 2048 bit.
Le botnet sono spesso utilizzate per attacchi DDoS. Vo1d viene invece sfruttata per varie attività illecite nascondendo la provenienza del traffico. I dispositivi vengono trasformati in proxy residenziali, quindi gli indirizzi IP non destano sospetti e consentono di aggirare i filtri di sicurezza.
Ti potrebbe interessare
6 mar 2025