BADBOX refait surface, et cette fois, l’ampleur de la menace dépasse tout ce qui a été observé jusqu’ici. Plus d’un million d’appareils Android compromis, des attaques en cascade et une organisation cybercriminelle bien rodée : BADBOX 2.0 marque une escalade inquiétante dans l’exploitation des appareils connectés.
On prend les mêmes, et on recommence. Très médiatisé en fin d’année dernière après une opération coup de filet de la BSI, BADBOX, qui avait déjà infecté près de 200 000 appareils IoT, TV et smartphones Android bas de gamme, fait à nouveau parler de lui. Dans sa version 2.0, le malware continue de viser les box TV, les tablettes low cost et les projecteurs numériques tournant sous Android Open Source Project (AOSP), vendus sans certification Google Play Protect. Mais cette fois, l’attaque prend une tout autre dimension. Les équipes de HUMAN Security ont identifié 1 million d’appareils infectés, et repéré du trafic BADBOX 2.0 dans 222 pays et territoires, preuve de la portée tentaculaire du botnet.
BADBOX 2.0 : un botnet conçu pour durer
Pour une fois, l’utilisateur final n’y est pour rien, ou presque. Suivant le même schéma d’infection que son prédécesseur, BADBOX 2.0 infiltre majoritairement les appareils compromis bien avant leur mise en rayon, dès la chaîne de production. Difficile, dès lors, d’y échapper une fois l’achat effectué. Les modèles concernés embarquent une backdoor préinstallée, activée au tout premier démarrage. En parallèle, les équipes de HUMAN Security ont identifié un second vecteur d’intrusion par le biais d’applications vérolées distribuées sur les stores alternatifs, qui intègrent, elles aussi, un chargeur de malware.
Une fois l’appareil compromis et connecté à Internet, tout se joue en arrière-plan. La backdoor intégrée contacte automatiquement un serveur de commande et contrôle (C2), qui lui envoie ses instructions et télécharge des modules supplémentaires en fonction des besoins des attaquants.
Cette mécanique bien rodée a permis aux cybercriminels à l’œuvre d’enrôler plus d’un million d’appareils dans leur botnet, dont plus d’un tiers a été repéré au Brésil. D’autres foyers massifs ont émergé aux États-Unis, au Mexique, en Argentine et en Colombie, faisant de BADBOX 2.0 l’un des plus vastes réseaux de machines compromises jamais observés.
Derrière cette diffusion massive, BADBOX 2.0 s’appuie sur BB2DOOR, une backdoor dont certaines caractéristiques rappellent celles de vo1d, malware repéré en 2024 sur des box TV et appareils Android non certifiés. Vo1d exploitait alors une faille critique dans les bibliothèques système d’Android, lui permettant d’exécuter du code malveillant avec un accès privilégié sans déclencher d’alerte. BB2DOOR fait aujourd’hui plus ou moins la même chose, mais avec un niveau de contrôle encore plus poussé : exécution de code à distance, ajout de nouveaux modules malveillants et adaptation en temps réel aux contre-mesures mises en place.
Nouveau mode opératoire, même combat. Une fois actif, BADBOX 2.0 s’adonne à de la fraude publicitaire massive – clics automatisés, annonces invisibles, visites fantômes sur des sites de jeux HTML5 frauduleux. En parallèle, il exploite les appareils compromis comme proxies résidentiels, louant ces connexions à d’autres groupes cybercriminels qui peuvent alors masquer leur identité pour mener des attaques DDoS, diffuser des malwares ou contourner les dispositifs de sécurité de certains services en ligne.
Un réseau criminel structuré et une riposte encore limitée
Si BADBOX 2.0 s’impose comme l’un des plus vastes botnets jamais découverts, c’est avant tout parce qu’il repose sur une organisation cybercriminelle bien rodée. Derrière son infrastructure, plusieurs groupes travaillent de concert pour optimiser leurs opérations et réagir rapidement en cas de tentatives de neutralisation du botnet.
SalesTracker Group, déjà à l’origine de l’opération BADBOX en 2023, supervise l’ensemble de l’infrastructure et fournit les serveurs de commande et contrôle (C2). MoYu Group développe et maintient la backdoor BB2DOOR, tout en opérant la gestion du botnet et la revente des proxies résidentiels. Lemon Group tire profit des adresses IP compromises pour alimenter des campagnes de fraude publicitaire et monétiser l’accès au réseau via des services de proxy. Enfin, LongTV développe et distribue des applications frauduleuses, aussi bien préinstallées sur des appareils Android non certifiés que récupérables sur des plateformes alternatives.
25 février 2025 à 14h47
D’après HUMAN Security, Google et ses partenaires, dont Trend Micro et Shadowserver, ont déjà pris plusieurs mesures pour limiter l’impact de BADBOX 2.0. Play Protect bloque les applications malveillantes associées au malware, plusieurs comptes publicitaires liés au réseau ont été fermés, et certaines infrastructures utilisées pour la monétisation ont été désactivées. Mais si ces efforts ont permis d’enrayer une partie du problème, ils ne règlent pas grand-chose sur le long terme.
Des dires des équipes de recherche, les attaquants s’adaptent déjà. De nouveaux modèles Android non certifiés sont sans cesse intégrés au réseau, et l’infrastructure C2 évolue constamment. En bref, la seule vraie solution durable consisterait à sécuriser les chaînes de production. Peu réaliste dans l'immédiat.
En attendant, le seul moyen de se prémunir efficacement contre ces types d’infections reste encore d’éviter d’acheter des appareils non certifiés Play Protect. Dans le cas contraire, pensez à systématiquement mettre à jour vos équipements avec les dernières versions d’Android, isolez du réseau domestique ceux qui ne reçoivent plus d’update de sécurité, astreignez-vous à télécharger vos applications sur les stores officiels, et installez un bon antivirus sur les appareils qui peuvent en accueillir un.
Source : HUMAN Security
27 février 2025 à 09h45
