پرده‌برداری از BadBox؛ بدافزاری که میلیون‌ها دستگاه IoT را آلوده کرده است!

badbox android iot malware

فهرست مطالب

دنیای آشوبناک امنیت سایبری، هر روزه با انواع نوع جدیدی از تهدیدات سایبری روبرو می‌شود. در این میان بدافزار بسیار موذی به نام بدباکس (BadBox) پدیدار شده است. این بدافزار خود را از قبل بر روی ده‌ها هزار دستگاه اینترنت اشیای اندرویدی نصب کرده و سپس به بدباکس 2.0 تکامل یافته و میلیون‌ها دستگاه دیگر را آلوده کرده است. این تهدید از پیش نصب شده، خطر قابل توجهی را به همراه دارد و دستگاه‌های هوشمند روزمره را به ابزارهایی برای جرایم سایبری تبدیل می‌کند. در لحظه نگارش این مطلب، بیش از 10 میلیون دستگاهی اندرویدی در تمام جهان به این بدافزار آلوده شده‌اند. که یک بات‌نت بزرگ را تشکیل می‌دهد. 

BadBox چیست و چگونه عمل می‌کند؟

بدباکس یک بدافزار اندروید است که از پیش در Firmware دستگاه‌های متصل به اینترنت نصب می‌شود. این دستگاه‌های آلوده اغلب شامل قاب‌های عکس دیجیتال، پخش‌کننده‌های رسانه، استریمرها و احتمالاً حتی گوشی‌های هوشمند و تبلت‌ها، بلندگوهای هوشمند، دوربین‌های امنیتی، تلویزیون‌های هوشمند و جعبه‌های پخش آنلاین می‌شوند. نسخه جدیدBadBox، عمدتاً دستگاه‌های مبتنی بر پروژه متن‌باز اندروید (AOSP) را هدف قرار می‌دهد که فاقد حفاظت‌های امنیتی حیاتی مانند Google Play Protect  هستند.

دستگاه‌ها به دو روش آلوده می‌شوند:

  • نصب از پیش: عاملان تهدید ممکن است دستگاه‌های ارزان‌قیمت AOSP را خریداری کرده، سیستم‌عامل آن‌ها را برای گنجاندن بدافزار BadBox 2.0  تغییر دهند و سپس آن‌ها را آنلاین بفروشند.
  • برنامه‌های مخرب: کاربران ممکن است فریب خورده و برنامه‌های مخرب حاوی بدافزار را دانلود و نصب کنند.

هنگامی که یک دستگاه آلوده به اینترنت متصل می‌شود، بدافزار سعی می‌کند با یک سرور فرمان و کنترل (C2) از راه دور که توسط عاملان تهدید اداره می‌شود، تماس بگیرد. این سرور، سرویس‌های مخربی را که باید روی دستگاه اجرا شوند، دیکته می‌کند و داده‌های سرقت شده را دریافت می‌کند.

قابلیت‌های BadBox  گسترده و نگران‌کننده هستند:

  • سرقت داده: بدافزار می‌تواند داده‌ها، از جمله کدهای احراز هویت دو مرحله‌ای را سرقت کند
  • نصب بدافزار اضافی: می‌تواند بدافزارهای دیگری را روی دستگاه نصب کند
  • دسترسی از راه دور: عاملان تهدید می‌توانند به شبکه محلی که دستگاه در آن قرار دارد، دسترسی از راه دور پیدا کنند
  • ایجاد حساب کاربری: می‌تواند برای انتشار اخبار جعلی، حساب‌های ایمیل و اکانت‌ شبکه‌های اجتماعی ایجاد کند
  • تقلب در تبلیغات: بدباکس با بارگذاری و کلیک بر روی تبلیغات در پس‌زمینه، به تقلب در تبلیغات می‌پردازد و برای گروه‌های کلاهبردار درآمد ایجاد می‌کند. شکایت گوگل علیه BadBox 2.0 به طور خاص سه روش تقلب در تبلیغات را برجسته می‌کند:
    • نمایش پنهان تبلیغات: برنامه‌های “همزاد شیطانی” جعلی به صورت بی‌صدا نصب می‌شوند تا تبلیغات پنهان را در وب‌سایت‌های کنترل شده توسط مهاجمان با تبلیغات گوگل بارگذاری کنند.
    • سایت‌های بازی مبتنی بر وب: ربات‌ها مرورگرهای وب نامرئی را برای انجام بازی‌های تقلبی که به سرعت بازدید از تبلیغات گوگل را تحریک می‌کنند، راه‌اندازی می‌کنند.
    • تقلب در کلیک بر تبلیغات جستجو: ربات‌ها پرس‌وجوهای جستجو را در وب‌سایت‌های تحت مدیریت مهاجمان با استفاده از AdSense for Search  انجام می‌دهند و از تبلیغات نتایج جستجو درآمد کسب می‌کنند.
  • پراکسی: بدباکس می‌تواند یک دستگاه آلوده را به یک پراکسی تبدیل کند و به افراد دیگر اجازه دهد از پهنای باند اینترنت و سخت‌افزار آن برای مسیریابی ترافیک خود استفاده کنند. این تاکتیک اغلب شامل عملیات غیرقانونی است که آدرس IP کاربر را درگیر می‌کند.

تلاش‌های جهانی برای مختل کردن عملیات BadBox

تهدید BadBox، واکنش‌های قابل توجهی در حوزه امنیت سایبری را برانگیخته است:

اقدام آلمان علیه بدباکس

در دسامبر 2024، اداره فدرال امنیت اطلاعات آلمان (BSI) اقدام قاطعی را علیه عملیات اصلی بدباکس انجام داد. آن‌ها ارتباط بین دستگاه‌های آلوده و زیرساخت C2 آن‌ها را با سینک‌هولینگ (sinkholing) (به معنای هدایت ترافیک به سمت سرورهای کنترل شده توسط پلیس به جای سرورهای مهاجمان) پرس‌وجوهای DNS مختل کردند. این بدان معناست که بدافزار به جای مهاجمان، با سرورهای کنترل شده توسط پلیس ارتباط برقرار می‌کند.

سینک‌هولینگ از ارسال داده‌های سرقت شده توسط بدافزار به مهاجمان و دریافت دستورات جدید توسط آن جلوگیری می‌کند و فعالیت‌های مخرب آن را به طور موثر متوقف می‌سازد. ارائه‌دهندگان خدمات اینترنتی، صاحبان دستگاه‌های تحت تأثیر این عملیات را بر اساس آدرس IP آن‌ها مطلع می‌کنند. BSI به هر کسی که چنین اطلاعیه‌ای را دریافت می‌کند، توصیه می‌کند فوراً دستگاه را از شبکه خود جدا کند یا استفاده از آن را متوقف کند، و در نظر بگیرد که آن را بازگرداند یا دور بیندازد زیرا به این بدافزار بروی Frimware دستگاه نصب شده است به هیچ عنوان نمی‌تواند به آن اعتماد کرد.

شکایت گوگل علیه بدباکس 2.0

با وجود تلاش‌های آلمان، سازمان جنایی پشت بدباکس به سرعت بدباکس 2.0  را راه‌اندازی کرد که تا آوریل 2025، گمان می‌رود بیش از 10 میلیون دستگاه مبتنی بر اندروید را در سراسر جهان آلوده کرده باشد، که به نظر می‌رد بیش از 170،000 دستگاه آلوده تنها در ایالت نیویورک وجود داشته باشد.

در جولای 2025، گوگل شکایتی را علیه اپراتورهای ناشناس بات‌نت بدباکس 2.0  تنظیم کرد و آن‌ها را به اداره یک طرح بزرگ تقلب در تبلیغات جهانی علیه پلتفرم‌های تبلیغاتی خود متهم کرد. گوگل قبلاً هزاران حساب ناشر مرتبط با این عملیات را مسدود کرده است اما هشدار می‌دهد که بات‌نت همچنان در حال رشد است و خطر امنیت سایبری فزاینده‌ای را به همراه دارد.

از آنجا که متهمان ناشناس هستند و گمان می‌رود در چین اقامت دارند، گوگل به دنبال جبران خسارت قانونی تحت قانون کلاهبرداری و سوء استفاده رایانه‌ای (Computer Fraud and Abuse Act) و قانون سازمان‌های تحت تأثیر و فاسد (Racketeer Influenced and Corrupt Organizations – RICO)  است و به دنبال دریافت خسارت و دستور قضایی دائمی برای برچیدن زیرساخت بدافزار است. این شکایت شامل فهرستی از بیش از 100 دامنه اینترنتی است که بخشی از زیرساخت این عملیات هستند.

محافظت از خود در برابر چنین تهدیداتی

گسترش BadBox، خطرات فریم‌ورهای قدیمی و دستگاه‌های از منابع کمتر معتبر را برجسته می‌کند. در اینجا نحوه محافظت از خود آورده شده است:

  • به دنبال گواهینامه Play Protect باشید: گوگل بیان می‌کند که دستگاه‌های غیربرند که آلوده شده‌اند، دستگاه‌های اندروید دارای گواهینامه Play Protect نبوده‌اند. دستگاه‌های اندروید دارای گواهینامه Play Protect تحت آزمایش‌های گسترده‌ای برای کیفیت و ایمنی کاربر قرار می‌گیرند. همیشه بررسی کنید که آیا دستگاهی دارای گواهینامه Play Protect است یا خیر.
  • از تولیدکنندگان معتبر خرید کنید: به طور کلی توصیه می‌شود که دستگاه‌های هوشمند را فقط از تولیدکنندگان معتبر خریداری کنید و به دنبال محصولاتی باشید که پشتیبانی امنیتی بلندمدت ارائه می‌دهند.
  • مراقب فریم‌ورهای قدیمی باشید: دستگاه‌های آلوده به بدباکس اغلب نسخه‌های قدیمی اندروید و فریم‌ورهای قدیمی را اجرا می‌کنند و حتی در صورت ایمن‌سازی در برابر بدباکس، آن‌ها را در برابر بدافزارهای بات‌نت دیگر آسیب‌پذیر می‌سازند.
  • علائم آلودگی را تشخیص دهید: علائمی که نشان می‌دهد دستگاه شما ممکن است توسط بدافزار بات‌نت آلوده شده باشد عبارتند از:
    • گرم شدن بیش از حد در زمان بیکاری ظاهری
    • افت عملکرد تصادفی
    • تغییرات غیرمنتظره در تنظیمات
    • فعالیت غیرمعمول
    • اتصالات به سرورهای خارجی ناشناخته
  • اقدامات کاهش خطر: برای کاهش خطر، اگر مشکلی را مشکوک هستید:
    • یک ایمیج فریم‌ور از یک فروشنده قابل اعتماد نصب کنید.
    • ویژگی‌های اتصال غیرضروری را خاموش کنید.
    • دستگاه را از شبکه‌های حیاتی جدا نگه دارید.

تولیدکنندگان و خرده‌فروشان مسئولیتی دارند که اطمینان حاصل کنند دستگاه‌های امن وارد بازار نمی‌شوند، اما مصرف‌کنندگان نیز با تبدیل امنیت سایبری به یک معیار مهم در هنگام خرید، نقش مهمی ایفا می‌کنند. تهدید بدافزارهای از پیش نصب شده مانند بدباکس، اهمیت هوشیاری را در دنیای تکنولوژی محور امروزه نشان می‌دهد.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *