Il Federal Office for Information Security della Germania ha interrotto le comunicazioni tra i server gestiti dai cybercriminali e oltre 30.000 dispositivi Android infettati con BadBox. Il malware è preinstallato principalmente nei firmware di cornici digitali, TV box e media player, ma è stato trovato anche su smartphone e tablet. Google ha dichiarato che i TV box non sono certificati.
Numerose funzioni per attività criminali
I cosiddetti dispositivi IoT sono tra i bersagli preferiti dai cybercriminali, in quanto i produttori sono piuttosto lenti a risolvere le vulnerabilità o non le risolvono proprio. Nel caso della Germania sono già stati infettati con BadBox quando acquistati dagli utenti (durante la produzione o subito dopo).
Il malware può creare account per servizi di posta elettronica e messaggistica (usati successivamente per diffondere notizie false) e consentire l’esecuzione di frodi pubblicitarie accedendo ai siti web in background. Funziona anche come servizio proxy residenziale, quindi i cybercriminali sfruttano la connessione Internet dell’utente per attività criminali (attacchi informatici, distribuzione di contenuti illegali).
BadBox può inoltre intercettare i codici dell’autenticazione in due fattori e installare altri malware. L’agenzia tedesca ha interrotto le comunicazioni dei dispositivi con i server C2 (command and control) che quindi non ricevono più i dati rubati e non possono più inviare comandi.
I proprietari dei dispositivi che sono stati informati dagli ISP devono immediatamente scollegarli da Internet e non usarli più. Il malware è posizionato in una partizione non scrivibile del firmware, per cui non può essere rimosso. Il consiglio è acquistare prodotti solo da aziende affidabili (non roba cinese super economica).
Un portavoce di Google ha infatti dichiarato che si tratta dispositivi non testati e quindi privi della certificazione Play Protect.
Ti potrebbe interessare
18 dic 2024