L’an dernier, les autorités et les chercheurs ont mené plusieurs opérations contre Badbox, un redoutable botnet visant les appareils sous Android. En décembre, le virus a notamment été évincé de plus de 30 000 appareils Android par la police allemande.
En partie court-circuité, le botnet est vite parvenu à retrouver le chemin de la croissance en piratant plus de 150 000 terminaux, essentiellement des boitiers TV, des smartphones, des tablettes ou des télévisions low cost. Parfois, Badbox se glisse sur l’appareil dès la sortie de l’usine. Dans d’autres cas, le virus se cache dans des applications malveillantes.
À lire aussi : 2,3 millions de cartes bancaires piratées – des milliers de Français sont touchés
L’émergence de Badbox 2.0
Comme l’indiquent les chercheurs de Human, le botnet n’a pas cessé de prendre de l’ampleur au cours des derniers mois. Il est parvenu à infecter plus d’un million d’appareils Android éparpillés parmi 222 pays différents, dont le Brésil, les États-Unis, le Mexique ou l’Argentine. Pour le chercheur Fyodor Yarochkin, il ne s’agit « que d’une partie des appareils actuellement connectés à leur plateforme ». Si l’on prend en compte « tous les appareils susceptibles d’héberger leur charge utile, le chiffre dépasserait probablement plusieurs millions ».
Face à la croissance monstrueuse du virus, Human a décidé d’évoquer le botnet sous le nom de Badbox 2.0. Ce changement de nom reflète aussi un changement dans l’arsenal de virus employés par les pirates. Désormais, ils se servent de plus en plus de malwares cachés dans des logiciels partagés sur des plateformes légitimes, comme porte d’entrée.
Fidèle à son mode opératoire, Badbox 2.0 cible toujours les appareils à bas prix, comme des tablettes, des projecteurs numériques ou des boitiers TV Android. Dorénavant, Badbox se propage aussi sur des écrans ou des appareils multimédias destinés aux voitures. Là encore, les cibles se distinguent par leur prix cassé.
« En tant que consommateur, gardez à l’esprit que si un appareil semble anormalement bon marché, il y a de fortes chances qu’il cache des surprises inattendues », conseille Fyodor Yarochkin de Trend Micro.
Pourquoi Google est impuissant
Tous ces appareils ne sont pas certifiés par Google, indique Human. Ils tournent sous Android Open Source Project, la version open source du système d’exploitation, et sont tous fabriqués en Chine continentale. Contacté par Bleeping Computer, Google rappelle que « les appareils infectés sont des appareils Android Open Source Project, et non des appareils Android TV OS ou des appareils Android certifiés Play Protect ».
« Si un appareil n’est pas certifié Play Protect, Google ne dispose d’aucun enregistrement des tests de sécurité et de compatibilité effectués. En revanche, les appareils Android certifiés Play Protect subissent des tests rigoureux afin de garantir une expérience utilisateur sûre et de qualité. Il est recommandé aux utilisateurs de s’assurer que Google Play Protect, le système de protection contre les logiciels malveillants intégré à Android et activé par défaut sur les appareils équipés des services Google Play, est bien activé », relate Google.
Selon l’enquête menée par Human, plusieurs groupes criminels sont impliqués dans l’opération Badbox. Il s’agit d’une offensive criminelle à grande échelle. Une fois que Badbox se retrouve sur un appareil, il va attendre que l’utilisateur allume celui-ci pouvoir se connecter au réseau. Il va ensuite télécharger et installer un module taillé pour la fraude sur l’appareil infecté. Le malware orchestre notamment des fraudes publicitaires. Le virus en profite pour collecter une foule de données personnelles sur les victimes.
Surtout, il se sert de l’appareil compromis comme d’un serveur proxy. Les cybercriminels peuvent se servir du terminal infecté dans le cadre de cyberattaques ou d’escroqueries. En clair, les pirates peuvent faire passer leur trafic Internet par ces machines, dissimulant ainsi leur véritable identité.
« La fraude publicitaire, notamment la fraude aux clics, se déroule en arrière-plan. Cependant, la principale source de revenus des cybercriminels est la revente de ce service proxy. Les victimes ignorent totalement que leur appareil est utilisé comme intermédiaire : elles n’ont jamais donné leur consentement pour servir de relais, mais elles sont malgré tout exploitées à cette fin », explique Gavin Reid, directeur de la sécurité de l’information de Human, à Wired.
L’offensive contre Badbox
Avec l’appui de partenaires comme Google, Trend Micro, ou The Shadowserver Foundation, Human s’est lancé dans une grande opération de court-circuitage du malware. Ils sont parvenus à bloquer plus de 500 000 appareils infectés. Dans le détail, les chercheurs ont coupé les communications entre les appareils et les serveurs de commande et de contrôle des cybercriminels. De facto, Badbox ne reçoit plus d’instructions de la part des pirates. Il devient alors inactif.
En parallèle, les chercheurs ont découvert la trace de Badbox 2.0 sur le Play Store. Caché dans le code de 24 applications Android, le virus s’est infiltré sur des centaines de milliers de smartphones Android. Certaines apps frauduleuses cumulaient en effet plus de 50 000 téléchargements. Alerté par les experts, Google a promptement supprimé toutes les applications de sa boutique. Le groupe en a profité pour renforcer Play Protect pour qu’il puisse détecter les applications liées à Badbox.
En dépit des efforts d’Human et de ses partenaires, Badbox n’est pas encore mort. Le botnet garde le contrôle de centaines de milliers d’appareils Android situés dans le monde entier. Pour mémoire, Badbox a été détecté pour la toute première fois en 2023 sur un boîtier Android TV commercialisé sur Amazon.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Human
