.
Pesquisadores de várias empresas dizem que a campanha parece vir de um ecossistema pouco conectado de grupos de fraude, em vez de um único ator. Cada grupo possui suas próprias versões dos módulos BadBox 2.0 Backdoor e malware e distribui o software de várias maneiras. Em alguns casos, os aplicativos maliciosos são pré -instalados em dispositivos comprometidos, mas em muitos exemplos que os pesquisadores rastrearam, os atacantes estão levando os usuários a instalar, sem saber, a instalação de aplicativos comprometidos.
Os pesquisadores destacam uma técnica na qual os scammers criam um aplicativo benigno – digamos, um jogo – o publica na Play Store do Google para mostrar que foi examinado, mas depois induz os usuários a baixar versões quase idênticas do aplicativo que não estão hospedadas em lojas de aplicativos oficiais e são maliciosas. Esses aplicativos “gêmeos do mal” apareceram pelo menos 24 vezes, dizem os pesquisadores, permitindo que os atacantes executem fraudes de anúncios nas versões do Google Play de seus aplicativos e distribuam malware em seus aplicativos de impostor. Human também descobriu que os golpistas distribuíram mais de 200 versões comprometidas e reformuladas de aplicativos populares e mainstream como mais uma maneira de espalhar seus backdoors.
“Vimos quatro tipos diferentes de módulos de fraude – dois anúncios de fraude, um falso clique um e, em seguida, a rede proxy residencial um – mas é extensível”, diz Lindsay Kaye, vice -presidente de inteligência de ameaças da Human. “Então você pode imaginar como, se o tempo tivesse passado e eles foram capazes de desenvolver mais módulos, talvez forjar mais relacionamentos, há a oportunidade de ter outros”.
Pesquisadores da empresa de segurança Trend Micro colaboraram com a Human na investigação do Badbox 2.0, concentrando -se particularmente nos atores por trás da atividade.
“A escala da operação é enorme”, diz Fyodor Yarochkin, pesquisador de ameaças de tendências da micro sênior. Ele acrescentou que, embora exista “facilmente até um milhão de dispositivos on -line” para qualquer um dos grupos, “este é apenas um número de dispositivos que estão atualmente conectados à sua plataforma. Se você contar todos os dispositivos que provavelmente teriam sua carga útil, provavelmente estaria excedendo alguns milhões. ”
Yarochkin acrescenta que muitos dos grupos envolvidos nas campanhas parecem ter alguma conexão com as empresas chinesas de publicidade e marketing do mercado cinza. Mais de uma década atrás, Yarochkin explica, havia múltiplo jurídico casos na China em que as empresas instalaram plugins “silenciosos” em dispositivos e os usavam para uma variedade diversificada de atividades aparentemente fraudulentas.
“As empresas que basicamente sobreviveram nessa idade de 2015 foram as empresas que se adaptaram”, diz Yarochkin. Ele observa que suas investigações agora identificaram várias “entidades comerciais” na China, que parecem estar ligadas de volta a alguns dos grupos envolvidos no Badbox 2. As conexões incluem vínculos econômicos e técnicos. “Identificamos seus endereços, vimos algumas fotos de seus escritórios, eles têm relatos de alguns funcionários no LinkedIn”, diz ele.
Human, Trend Micro e Google também colaboraram com o Grupo de Segurança da Internet servidor Shadow para neutralizar o máximo de infraestrutura do BadBox 2.0 possível, afundando o botnet, para que ele essencialmente envie seu tráfego e solicite instruções para um vazio. Mas os pesquisadores advertem que, após os golpistas articulados após revelações sobre o esquema original do Badbox, é improvável que a exposição do Badbox 2.0 encerre permanentemente a atividade.
“Como consumidor, você deve ter em mente que, se o dispositivo for muito barato para ser verdadeiro, você deve estar preparado para que haja algumas surpresas adicionais ocultas no dispositivo”, diz Yarochkin da Trend Micro. “Não há queijo grátis, a menos que o queijo esteja em uma mousetrap.”
.
