BadBox-botnet infecteert bijna 200.000 Android-apparaten
De BadBox-malware circuleert al enige tijd op Android-gebaseerde apparaten. In 2023 werd de malware voor het eerst ontdekt op een ‘T95 Android TV Box’. Later verspreidde de malware zich naar andere Android-producten van onbekende Chinese merken. Beveiligingsonderzoekers van BitSight hebben echter recent ook Android-apparaten van bekendere merken, zoals het Russische Yandex en het Chinese HiSense, geïdentificeerd die de BadBox-malware bevatten.
Wat doet de BadBox-malware?
BadBox is een malwarevariant die beveiligingsonderzoekers regelmatig tegenkomen op Android TV-boxes. Meestal betreft het goedkope Android TV-apparaten die verkrijgbaar zijn via bijvoorbeeld Amazon en eBay. Deze apparaten zijn vaak te herkennen aan vage modelnamen, zoals ‘T95 Android TV Box’, en zijn populair vanwege hun lage prijs. Dat lijkt echter niet zonder risico.
De Android TV-boxes draaien namelijk malware die je TV-box onderdeel van een botnet maakt. Hackers kunnen je streamingbox daardoor gebruiken voor botnet-aanvallen, zoals de bekende DDoS-aanvallen op computernetwerken. BadBox wordt ook in verband gebracht met reclamefraude: er worden op de achtergrond – bijvoorbeeld wanneer je scherm uitstaat – advertenties afgespeeld om inkomsten te genereren. Hoewel je daar als gebruiker mogelijk niets van merkt, betekent dit in feite wel dat hackers continu toegang hebben tot je streamingbox.
Die toegang is zorgwekkend om meerdere redenen, maar vooral omdat de BadBox-aanvallers hiermee extra schadelijke payloads kunnen installeren. Met andere woorden: ze kunnen op afstand aanvullende schadelijke acties uitvoeren.
Botnet-aanval in Duitsland
Het blijft niet alleen bij een potentieel risico: hackers maken ook actief gebruik van de BadBox-malware. De Duitse Federale Dienst voor Informatiebeveiliging (BSI) meldde vorige week nog een BadBox-malwareoperatie in het land te hebben afgeslagen. Bij die aanval waren 30.000 Android-apparaten betrokken. Het netwerk van de aanvallers is echter veel groter en wordt door BitSight geschat op ruim 192.000 proxy’s.
Beveiligingsonderzoekers van BitSight slaagden er voor hun onderzoek in een actief BadBox-domein te onderscheppen. Dat domein registreerde binnen 24 uur tijd ruim 160.000 actieve IP-adressen, en dus apparaten. Het merendeel van deze apparaten is actief in landen als China, Brazilië, India, Rusland en Wit-Rusland. Ook elders is de malware actief, zij het in mindere mate.
Als gebruiker kun je je relatief eenvoudig beschermen tegen dit type malware. Deze komt namelijk voornamelijk voor op goedkope Android TV-boxes van onbekende merken. Laat je die links liggen, dan is de kans klein dat je een geïnfecteerd apparaat in huis haalt. Googles TV Streamer is een goed alternatief, net als de Shield TV van Nvidia.
