Malgré les opérations menées en Allemagne la semaine dernière, BadBox continue de se propager à une vitesse alarmante, et touche aussi des appareils plus sensibles que des gadgets connectés.
Comme redouté, BadBox ne s’est pas arrêté aux frontières de l’Allemagne. Malgré les opérations menées la semaine dernière par le BSI en vue de neutraliser le malware, l’infection s’est rapidement propagée dans le monde, et touche actuellement plus de 192 000 appareils Android. D’après les dernières informations communiquées par les équipes de recherche de BitSight, l’ampleur et la polyvalence du botnet auraient été largement sous-estimées, alors qu’il s’attaque très activement à de nombreux modèles de Smart TV et de smartphones commercialisés sur des plateformes comme Amazon, eBay ou AliExpress, et pas seulement à des objets connectés bas de gamme, comme on le pensait initialement.
Un botnet déjà repéré en 2023
En début de semaine, nous relations le coup de filet orchestré par l’Office fédéral pour la sécurité des technologies de l'information (BSI). L’opération avait permis d’identifier et de bloquer un malware nommé BadBox, préinstallé sur des cadres numériques et lecteurs multimédias en sortie d’usine. Au total, plus de 30 000 appareils infectés avaient été recensés. L’affaire aurait pu s’arrêter là, mais comme souvent, l’histoire a pris un tournant autrement important.
D’après les chercheurs et chercheuses de BitSight, BadBox est toujours très actif et continue de se propager à une vitesse alarmante. L’équipe en charge de surveiller le botnet a ainsi pu retracer le fil de son développement, confirmant de premiers indices de son existence dès 2023. À l’époque, le développeur canadien Daniel Milisic avait enquêté sur sa nouvelle box Android TV, commercialisée par le constructeur chinois AllWinner sur Amazon, et découvert qu’une fois installée, elle avait été connectée à un réseau de milliers d’autres appareils infectés, dispersés un peu partout dans le monde. Fin de l’histoire… jusqu’à aujourd’hui. Car en réalité, ce réseau de bots était intrinsèquement lié à BadBox.
Selon BitSight, l’opération allemande n’aura été qu’une tempête dans un verre d’eau. Malgré la neutralisation d’une partie du réseau, l’équipe de recherche n’a noté aucun impact significatif sur ses indicateurs de télémétrie. Pire encore, après avoir réussi à faire tomber un domaine lié à BadBox, les chercheurs et chercheuses ont constaté qu’il avait enregistré plus de 160 000 IP uniques en 24 heures seulement, dont 100 000 IP uniques associées à des Smart TV Yandex 4K QLED, très répandues en Russie. Le reste des IP concerne essentiellement des smartphones Hisense T963, populaires en Chine. En bref, deux types d’appareils loin des cadres numériques et lecteurs multimédias d’entrée de gamme.
L’analyse des données télémétriques a également permis à BitSight de cartographier l’ampleur du botnet. Outre la Russie et la Chine, BadBox opère activement en Inde, en Ukraine et en Russie. Un trafic résiduel – moins de 1 300 IP quotidiennes – aurait également été observé en Arabie Saoudite, au Kazakhstan, en République Tchèque, aux États-Unis, aux Pays-Bas et… en France.
Comment se protéger de BadBox ?
Pour rappel, BadBox n’est pas contracté par une mauvaise manipulation des appareils infectés, mais directement dans la chaîne d'approvisionnement. Le malware est préinstallé avant sa commercialisation en magasin et activé au premier démarrage des équipements. Les machines vérolées servent alors de proxy résidentiel, permettant aux hackers de mener des attaques DDoS, de diffuser des fake news et de s’adonner à des fraudes publicitaires via les adresses IP des particuliers piégés.
Dans la mesure où BadBox agit de manière silencieuse, difficile pour le grand public de prendre conscience du danger. Néanmoins, quelques réflexes peuvent aider à limiter les dégâts immédiats et la propagation du malware.
Avant toute chose, prenez soin de vous tourner vers des constructeurs de confiance. Une fois l’appareil acquis, contrôlez la version d’Android installée, et mettez immédiatement à jour le firmware s’il est obsolète. En cas d’impossibilité d’updater le système d’exploitation de vos équipements, prenez toutes les précautions possibles pour éviter d’infecter les autres appareils connectés à votre réseau domestique. La meilleure chose à faire serait de retourner l’équipement suspect en magasin ou à la plateforme en ligne sur laquelle vous l’avez acheté. Si malgré tout, si vous souhaitez continuer à l’utiliser, isolez-le sur un réseau Wi-Fi invité.
Source : BitSight
01 décembre 2024 à 11h06
