FBI varuje: Malware BadBox 2.0 infikoval přes milion Android zařízení

Federální úřad pro vyšetřování (FBI) vydal varování před rozsáhlou malwareovou operací s názvem BadBox 2.0, která infikovala více než milion chytrých televizí, streamovacích zařízení, projektorů a tabletů. Malware proměňuje domácí elektroniku v součást globální sítě kyberkriminality, často ještě předtím, než uživatel zařízení zapne.

Podle FBI se BadBox 2.0 běžně vyskytuje na levných zařízeních s operačním systémem Android vyrobených v pevninské Číně. Jedná se o necertifikované tablety, připojené televizní boxy a další hardware internetu věcí. Mnoho infikovaných zařízení je dodáváno s malwarem již předinstalovaným. Jiná zařízení jsou kompromitována během nastavení, často prostřednictvím škodlivého firmwaru nebo aplikací stažených z neoficiálních zdrojů.

Po infekci se zařízení připojují k serveru velícího a řídícího centra, což umožňuje hackerům přesměrovávat škodlivý provoz přes domácí sítě, načítat podvodné reklamy na pozadí a provádět útoky typu credential stuffing, aniž by uživatel cokoli tušil. V podstatě vaše chytrá televize může potichu pomáhat někomu vniknout do účtů jiných lidí.

Botnet se primárně používá k proměně infikovaných zařízení na rezidenční proxy uzly, které hackerům poskytují anonymní přístup k reálným domácím IP adresám. To znamená, že váš televizor nebo projektor může nevědomky pomáhat kyberzločincům obcházet bezpečnostní systémy, páchat podvody s reklamami nebo hrubou silou lámat online účty, zatímco se skrývají za vaším internetovým připojením.

BadBox se poprvé objevil v roce 2023 na generických televizních boxech, jako je T95. Původní botnet byl na krátkou dobu narušen v Německu v roce 2024, kdy výzkumníci v oblasti bezpečnosti „potopili“ velící servery malwaru. To vyřadilo část operace, ale jen na krátko. Pouhý týden poté se malware znovu objevil na téměř 200 000 zařízeních, včetně známějších značek, jako jsou smartphony Hisense a televize Yandex.

Do března 2025 se BadBox vyvinul na BadBox 2.0 s více než 1 milionem aktivních infekcí detekovaných týmem Satori Threat Intelligence společnosti HUMAN. Většina zařízení jsou necertifikované sestavy Android Open Source Project. Nejedná se o oficiální produkty Android TV OS a nejsou chráněny systémem Google Play Protect.

Výzkumníci uvádějí, že malware byl spatřen ve 222 zemích. Významný počet infekcí je soustředěn v Brazílii, následovaný Spojenými státy, Mexikem a Argentinou.

FBI ve spolupráci se společností Google, Trend Micro, HUMAN a Shadowserver Foundation nedávno přerušila komunikaci mezi více než 500 000 infikovaných zařízeními a jejich řídícími servery. Botnet však nadále roste, protože na trh se dostává stále více kompromitovaných produktů a zůstávají bez povšimnutí.

Příznaky infekce zahrnují podivné obchody s aplikacemi, deaktivovaná nastavení služby Play Protect nebo zařízení inzerovaná jako odemknutá nebo schopná bezplatného streamování. Mnoho z těchto produktů pochází od neznámých značek a prodává se prostřednictvím neoficiálních prodejců. Pokud jste si nedávno zakoupili levný Android TV box nebo projektor, zejména ten, který není certifikován společností Google, měli byste se na něj podrobněji podívat.

Jak zjistit, zda je vaše zařízení infikované:

• Zakoupili jste si levné Android zařízení od neznámé značky.
\n
• Vaše zařízení není certifikováno společností Google (nepodporuje Google Play Protect).
\n
• Pozorujete podezřelé chování nebo neznámé aplikace.
\n
• Google Play Protect je vypnutý.
\n
• Vaše domácí internet se chová divně.
\n
• Zařízení přišlo se zastaralým nebo neoficiálním firmwarem.

Ochrana před malwarem:

• Používejte silný antivirový software.
\n
• Nakupujte pouze certifikovaná a důvěryhodná zařízení.
\n
• Vyhýbejte se instalaci aplikací z neoficiálních zdrojů.
\n
• Pravidelně kontrolujte nastavení zařízení.
\n
• Monitorujte síť na neobvyklou aktivitu.
\n
• Odpojte a vyměňte podezřelý hardware.
\n
• Pravidelně aktualizujte zařízení a aplikace.
\n
• Zabezpečníte svůj router a domácí síť.