Badbox

¿Qué es?

Badbox, también conocido como Badbox Loader, Badboxloader y Badbox 2.0, es un malware de tipo troyano backdoor que se enfoca en infectar dispositivos Android para realizar actividades maliciosas. Además, permite proporcionar a los atacantes una puerta trasera con la que incluir el dispositivo como parte de una botnet para realizar también ataques de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

• Permite a los atacantes el control remoto y la ejecución de comandos en el sistema afectado.
• Accede, extrae y roba información sensible del sistema afectado, como contraseñas de un solo uso (OTP) y credenciales de inicio de sesión.
• Utiliza técnicas relacionadas con el fraude publicitario, como la creación de vistas web ocultas para simular clics en anuncios publicitarios y generar ingresos fraudulentos a los atacantes sin el conocimiento del usuario.
• Puede generar cuentas falsas en plataformas como Gmail o WhatsApp, usadas para actividades fraudulentas desde el dispositivo afectado.
• Convierte a los dispositivos afectados en nodos de salida de proxy para que otros puedan conectarse a través de ellos y ocultar el origen de otras posibles actividades maliciosas.
• Realiza conexiones con sitios no legítimos y descarga e instala otros ficheros y programas maliciosos, como el malware Triada, con el que mejora su acceso por control remoto y potencia sus actividades maliciosas.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos IoT con sistemas Android, como televisores inteligentes, adaptadores de televisión, tabletas electrónicas, proyectores digitales, marcos de fotos inteligentes y sistemas de infoentretenimiento en vehículos, entre otros, que no están certificados por Google Play Protect y que se basan en AOSP (Android Open Source Project).

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la cadena de suministro comprometida, en donde se preinstala durante el proceso de fabricación, y, en su versión 2.0, también mediante la descarga de aplicaciones comprometidas, en donde se instala el artefacto malicioso sin el conocimiento de los usuarios.

Cómo desinfectar mi equipo

Eliminar este malware de los dispositivos infectados se trata de una tarea extremadamente complicada debido a que está incrustado en una partición de sólo lectura del firmware, por lo que los restablecimientos de fábrica o las aplicaciones antivirus no pueden eliminarlo en este caso. Debido a esto, se recomienda que se contacte con el vendedor o fabricante del dispositivo para pueda proporcionar una actualización o un parche de seguridad que correja la infección.

Igualmente, las principales firmas de antivirus contienen reglas para detectar y, posiblemente, eliminar este malware: accede a los cleaners de Android.

Más información

• BADBOX (Cert-Bund)
• BADBOX Botnet Is Back (BitSight)
• Android botnet BadBox largely disrupted (Malwarebytes)
• Android devices shipped with backdoored firmware as part of the BADBOX network (Security Affairs)
• UNPACKING BADBOX (Human Security)
• BADBOX, PEACHPIT, and the Fraudulent Device in Your Delivery Box (Human Security)
• China-based Supply Chain Cyberattacks Hit Thousands of Android Devices (MSSP Alert)
• Impact of Badbox and Peachpit Malware on Android Devices (Security Boulevard)
• United States District Court for the Southern District of New York (Badbox2 Service of Process)
• Dispositivos IoT infectados de fábrica neutralizados (INCIBE)
• BADBOX (Malpedia)