BADBOX 2.0 botneti 1 million Android qurilmasini reklama firibgarligi va proksi suiiste'moli orqali zararladi.

Kamida to‘rtta xavf-xatar guruhlari BADBOX deb nomlangan katta hajmdagi reklama firibgarligi va turar-joy proksi sxemasining yangilangan talqinida ishtirok etgan deb topildi, bu esa bir-biri bilan bog‘liq bo‘lgan kiberjinoyatchilik ekotizimini tasvirlaydi.

HUMAN Satori Tahdid josusligi va tadqiqot jamoasining yangi topilmalari Google, Trend Micro, Shadowserver va boshqa hamkorlar bilan hamkorlikda nashr etilganiga ko‘ra, bunga SalesTracker Group, MoYu Group, Lemon Group va LongTV kiradi.

"Ushbu murakkab va keng ko‘lamli firibgarlik amaliyoti" BADBOX 2.0 deb nomlandi. Bu hozirgacha aniqlangan ulangan televizor (CTV) qurilmalarining eng katta botneti sifatida tasvirlanadi.

"BADBOX 2.0, avvalgisi kabi, arzon iste’mol qurilmalaridagi backdoorlardan boshlanadi, bu esa xavf-xatar guruhlariga firibgarlik modullarini masofadan yuklash imkonini beradi," deb aytadi kompaniya vakili. "Bu qurilmalar bir qator alohida, lekin hamkorlik qiluvchi xavf-xatar guruhlari tomonidan boshqariladigan buyruq va boshqaruv (C2) serverlari bilan aloqa qiladi."

Xavf-xatar guruhlari bir nechta usullarni qo‘llashi ma’lum, ular apparat ta’minot zanjiridagi buzilishlardan tortib, uchinchi tomon bozorlarigacha bo‘lib, tashqi ko‘rinishda zararsiz ko‘rinadigan ilovalarni tarqatish orqali ushbu qurilmalar va ilovalarni backdoor bilan yuqtirish uchun yashirin "loader" funksiyasini o‘z ichiga oladi.

Backdoor keyinchalik yuqtirilgan qurilmalarni katta botnetning bir qismiga aylantiradi, bu botnet dasturiy reklama firibgarligi, bosish firibgarligi va noqonuniy turar-joy proksi xizmatlarini taqdim etish uchun suiiste'mol qilinadi:

- Yashirin reklamalar va yashirin WebView’larni ishga tushirish orqali soxta reklama daromadini yaratish

- Past sifatli domenlarga yo‘naltirish va moliyaviy foyda uchun reklamalarni bosish

- Buzilgan qurilmalar orqali trafikni yo‘naltirish

- Tarmoqni hisobni egallash (ATO), soxta hisob yaratish, zararli dasturlarni tarqatish va DDoS hujumlari uchun ishlatish

Taxminan bir million qurilma, asosan arzon Android planshetlari, ulangan televizor (CTV) qutilari, raqamli proyektorlar va avtomobil ma’lumot-ko‘ngilochar tizimlari BADBOX 2.0 sxemasining qurboniga aylangani taxmin qilinadi. Barcha zararlangan qurilmalar Xitoy mintaqasida ishlab chiqarilgan va butun dunyo bo‘ylab jo‘natilgan. Infeksiyalarning ko‘p qismi Braziliyada (37,6%), AQShda (18,2%), Meksikada (6,3%) va Argentinada (5,3%) qayd etilgan.

Operatsiya uch oy ichida ikkinchi marta qisman to‘xtatildi, chunki BADBOX 2.0 domenlarining noma’lum soni yuqtirilgan qurilmalar bilan aloqani uzish maqsadida sinkhole qilindi. Google o‘z navbatida Play Storedan zararli dasturni tarqatuvchi 24 ta ilovani olib tashladi. Uning infratuzilmasining bir qismi avvalroq, 2024-yil dekabrida Germaniya hukumati tomonidan yo‘q qilingan edi.

"Yuqtirilgan qurilmalar Android Open Source Project qurilmalari bo‘lib, Android TV OS qurilmalari yoki Play Protect sertifikatlangan Android qurilmalari emas" dedi Google. "Agar qurilma Play Protect sertifikatiga ega bo‘lmasa, Google’da uning xavfsizlik va moslik sinovlari natijalari haqida ma’lumot bo‘lmaydi. Play Protect sertifikatlangan Android qurilmalari sifat va foydalanuvchi xavfsizligini ta’minlash uchun keng qamrovli sinovlardan o‘tadi."

Operatsiyaning asosini tashkil etuvchi backdoor Androiddagi Triada deb nomlanuvchi zararli dasturi(malware)ga asoslanadi. BB2DOOR deb nomlangan bu dastur uch xil usulda tarqatiladi: qurilmada oldindan o‘rnatilgan komponent sifatida, birinchi marta yoqilganda masofaviy serverdan yuklab olinadi va uchinchi tomon do‘konlaridagi 200 dan ortiq mashhur ilovalarning troyanlashtirilgan talqinlari orqali yuklanadi.

Bu MoYu Group deb nomlangan xavf-xatar klasterining ishi deb aytiladi, u BADBOX 2.0 bilan yuqtirilgan qurilmalar asosida turar-joy proksi xizmatlarini reklama qiladi. Yana uchta xavf-xatar guruhi sxemaning boshqa jihatlarini boshqarish uchun mas'uldir:

- SalesTracker Group, asl BADBOX operatsiyasi bilan bog‘liq bo‘lib, yuqtirilgan qurilmalarni kuzatuvchi modulga ham aloqador;

- Lemon Group, BADBOX asosidagi turar-joy proksi xizmatlari va BADBOX 2.0 yordamida HTML5 (H5) o‘yin veb-saytlari tarmog‘idagi reklama firibgarlik kampaniyasi bilan bog‘liq;

- LongTV, Malayziyaning internet va media kompaniyasi bo‘lib, uning yigirmadan ortiq ilovalari "evil twin" deb nomlanuvchi yondashuvga asoslangan reklama firibgarlik kampaniyasining ortida turadi.

"Ushbu guruhlar bir-biri bilan umumiy infratuzilma (umumiy C2 serverlar) va tarixiy hamda hozirgi biznes aloqalari orqali bog‘langan edi" deydi HUMAN.

Eng so‘nggi talqin sezilarli evrilish va moslashuvni anglatadi, hujumlar uchinchi tomon ilova do‘konlaridagi yuqtirilgan ilovalarga ham tayanishadi va zararli dasturning yanada murakkab talqini qonuniy Android kutubxonalarini o‘zgartirish orqali doimiy mavjudlikni ta’minlaydi.

Qizig‘i shundaki, BB2DOOR va Vo1d o‘rtasida ba’zi o‘xshashliklarni ko‘rsatuvchi dalillar mavjud, Vo1d esa maxsus brend bo‘lmagan Androidga asoslangan televizor qutilarini nishonga oluvchi boshqa zararli dastur sifatida tanilgan.

"BADBOX 2.0 xavfi, ayniqsa, operatsiyaning ochiq mavsum xarakteriga ega bo‘lganligi sababli jozibador" deb qo‘shimcha qildi kompaniya. "Backdoor o‘rnatilganidan so‘ng, yuqtirilgan qurilmalar xavf-xatar guruhlari tomonidan ishlab chiqilgan har qanday kiberhujumni amalga oshirishga yo‘naltirilishi mumkin."

Bu yangilik Google’ning IAS Threat Lab ma’lumotlariga ko‘ra, 56 milliondan ortiq yuklab olingan 180 dan ziyod Android ilovasini olib tashlagan bir paytda yuz berdi. Bu ilovalar Vapor deb nomlangan murakkab reklama firibgarlik sxemasida ishtirok etgan bo‘lib, soxta Android ilovalari yordamida cheksiz, bezovta qiluvchi to‘liq ekranli oraliq video reklamalarni joylashtirgan.

Shuningdek, bu DeepSeek mavzusidagi aldovchi saytlarni ishlatib, ehtiyotsiz foydalanuvchilarni Octo deb ataladigan Android bank zararli dasturini yuklab olish orqali aldashga qaratilgan yangi kampaniyaning aniqlanishidan keyin sodir bo‘ldi.