Plus d’un million d’appareils sont actuellement infectés par un logiciel malveillant surnommé BADBOX 2.0 : le FBI tire la sonnette d’alarme ! Ces appareils constituent un botnet qui ne cesse de grandir et qui transforme les appareils zombies en relais pour les activités criminelles. Faisons le point.
BADBOX 2.0 : une menace cachée dans des Box TV et d’autres appareils
Le FBI a récemment émis un avertissement concernant la campagne du logiciel malveillant BADBOX 2.0, déjà l’origine de l’infection de plus d’un million d’appareils connectés à Internet. Ce logiciel malveillant est en réalité préinstallé sur certains appareils Android, bon marché et d’origine chinoise. Nous pouvons citer plusieurs types de produits : les boîtiers TV (appelées aussi Box Android), les vidéoprojecteurs, les tablettes ou encore certaines TV intelligentes.
Le rapport du FBI précise : “Le botnet BADBOX 2.0 se compose de millions d’appareils infectés et maintient de nombreuses portes dérobées vers des services proxy que les cybercriminels exploitent en vendant ou en fournissant un accès gratuit à des réseaux domestiques compromis qui seront utilisés pour diverses activités criminelles.”
Le firmware, en général basé sur Android, est infecté dès la sortie d’usine de l’appareil ou par une mise à jour malveillante, que ce soit du système ou d’une application. Il peut s’agir aussi d’une application téléchargée depuis un magasin d’applications tiers.
Une fois connectés au réseau domestique de l’acquéreur, ils rejoignent le botnet BADBOX 2.0 (via une connexion sur un serveur C2) et servent de passerelle ! Ces appareils servent donc de relais pour exploiter la connexion Internet de particuliers en tant que sortie pour mener des activités malveillantes…
Le FBI met en évidence trois utilisations malveillantes :
Le routage de trafic via les adresses IP des routeurs Internet (Box) pour dissimuler des activités malveillantes : principe d’un proxy résidentiel.
La fraude publicitaire via le chargement et le clic automatisé sur des publicités.
Le credential stuffing, une attaque qui teste des identifiants volés sur divers services en ligne.
Un réseau mondial difficile à neutraliser
BADBOX 2.0 est l’évolution de la version initiale du malware, découverte en 2023, notamment sur les boîtiers TV Android T95. Pourtant, les forces de l’ordre mènent régulièrement des opérations pour tenter de mettre fin à cette opération. Par exemple, une action menée par l’agence de cybersécurité allemande a perturbé le botnet en 2024, mais cela n’a pas été suffisant. À peine une semaine après l’opération, le malware était détecté sur près de 192 000 nouveaux appareils.
L’enquête du FBI, réalisée avec plusieurs partenaires dont HUMAN, met en évidence que les appareils infectés par BADBOX 2.0 reposent sur Android Open Source Project et non sur la version Android TV OS certifiée par Google. Il ne s’agit pas non plus d’appareils certifiés Play Protect, et cette fonction de sécurité est d’ailleurs désactivée.
Tous ces appareils sont fabriqués en Chine et distribués à l’échelle mondiale ! En effet, HUMAN a observé du trafic lié à BADBOX 2.0 en provenance de 222 pays et territoires à travers le monde.
Source : HUMAN Satori
Le malware se propage à l’échelle mondiale, avec des pics d’infection observés au Brésil (37,6 %), aux États-Unis (18,2 %), au Mexique (6,3 %) et en Argentine (5,3 %). Malgré une nouvelle opération conjointe de neutralisation de BADBOX 2.0 dirigée par l’équipe de HUMAN, en partenariat avec Google, Trend Micro et The Shadowserver Foundation, plus de 500 000 dispositifs infectés restent actifs… Et la tendance repart à la hausse.
Quels sont les appareils à éviter ?
Le rapport de HUMAN permet aussi de mettre la main sur une liste d’appareils associés à la campagne BADBOX 2.0, et que vous devez donc éviter. Il s’agit d’une liste de références, que voici :
Modèle d’appareilModèle d’appareilModèle d’appareilModèle d’appareilTV98X96Q_Max_PQ96L2X96Q2X96miniS168ums512_1h10_NatvX96_S400X96mini_RPTX3miniHY-001MX10PROX96mini_Plus1LongTV_GN7501EXtv77NETBOX_B68X96Q_PR01AV-M9ADT-3OCBNX96MATE_PLUSKM1X96Q_PROProjector_T6PX96QPRO-TMsp7731e_1h10_nativeM8SPROWTV008X96Mini_5GQ96MAXOrbsmart_TR43Z6TVBOXSmartKM9PROA15TranspeedKM7iSinboxI96SMART_TVFujicom-SmartTVMXQ9PROMBOXX96QisinboxMboxR11GameBoxKM6X96Max_Plus2TV007Q9 StickSP7731EH6X88X98KTXCZ
Des signes d’infection sont également partagés :
Des configurations suspectes comme la désactivation de Google Play Protect
L’apparition de magasins d’applications inconnus
Des activités réseau inhabituelles
Ceci n’est pas forcément facile à analyser pour tout le monde… Le FBI appelle donc à la vigilance. Il est préférable d’acheter des appareils de marques connues, même si cela est plus coûteux.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.