Η Γερμανία αποκλείει το κακόβουλο λογισμικό BadBox που έχει φορτωθεί σε 30.000 συσκευές Android

Το Ομοσπονδιακό Γραφείο Ασφάλειας Πληροφοριών (BSI) της Γερμανίας διέκοψε τη λειτουργία κακόβουλου λογισμικού BadBox που ήταν προφορτωμένο σε περισσότερες από 30.000 συσκευές Android IoT που πωλήθηκαν στη χώρα.

Οι τύποι των επηρεαζόμενων συσκευών περιλαμβάνουν ψηφιακές κορνίζες, συσκευές αναπαραγωγής πολυμέσων και streamers, και ενδεχομένως smartphone και tablet.

Το BadBox είναι ένα κακόβουλο λογισμικό Android που έρχεται προεγκατεστημένο στο υλικολογισμικό μιας συνδεδεμένης στο διαδίκτυο συσκευής που χρησιμοποιείται για την κλοπή δεδομένων, την εγκατάσταση πρόσθετου κακόβουλου λογισμικού ή για την απομακρυσμένη πρόσβαση των παραγόντων απειλών στο δίκτυο όπου βρίσκεται η συσκευή.

Όταν μια μολυσμένη συσκευή συνδεθεί για πρώτη φορά στο Διαδίκτυο, το κακόβουλο λογισμικό θα προσπαθήσει να επικοινωνήσει με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου που εκτελείται από τους φορείς απειλών. Αυτός ο απομακρυσμένος διακομιστής θα πει στο κακόβουλο λογισμικό BadBox ποιες κακόβουλες υπηρεσίες πρέπει να εκτελούνται στη συσκευή και θα λάβει επίσης δεδομένα που έχουν κλαπεί από το δίκτυο.

Η BSI λέει ότι το κακόβουλο λογισμικό μπορεί να κλέψει κωδικούς ελέγχου ταυτότητας δύο παραγόντων, να εγκαταστήσει περαιτέρω κακόβουλο λογισμικό και να δημιουργήσει λογαριασμούς πλατφόρμας ηλεκτρονικού ταχυδρομείου και μηνυμάτων για τη διάδοση ψεύτικων ειδήσεων. Μπορεί επίσης να εμπλακεί σε απάτη με διαφημίσεις φορτώνοντας και κάνοντας κλικ σε διαφημίσεις στο παρασκήνιο, δημιουργώντας έσοδα για κυκλώματα απάτης.

Τέλος, το BadBox μπορεί να ρυθμιστεί ώστε να λειτουργεί ως διακομιστής μεσολάβησης, επιτρέποντας σε άλλα άτομα να χρησιμοποιούν το εύρος ζώνης και το υλικό του διαδικτύου της συσκευής για να δρομολογούν τη δική τους κυκλοφορία. Αυτή η τακτική, γνωστή ως residential proxying, συχνά περιλαμβάνει παράνομες λειτουργίες που εμπλέκουν τη διεύθυνση IP του χρήστη.

Η υπηρεσία κυβερνοασφάλειας της Γερμανίας λέει ότι απέκλεισε την επικοινωνία μεταξύ των συσκευών κακόβουλου λογισμικού BadBox και της υποδομής εντολής και ελέγχου (C2) τους, καταποντίζοντας ερωτήματα DNS, έτσι ώστε το κακόβουλο λογισμικό να επικοινωνεί με διακομιστές που ελέγχονται από την αστυνομία και όχι με διακομιστές εντολών και ελέγχου του εισβολέα.

Το Sinkholing αποτρέπει το κακόβουλο λογισμικό από το να στείλει κλεμμένα δεδομένα στους εισβολείς και να λάβει νέες εντολές για εκτέλεση στη μολυσμένη συσκευή, αποτρέποντας ουσιαστικά τη λειτουργία του κακόβουλου λογισμικού.

“Η BSI ανακατευθύνει αυτήν τη στιγμή την επικοινωνία των επηρεαζόμενων συσκευών στους διακομιστές ελέγχου των δραστών ως μέρος ενός μέτρου καταβύθισης σύμφωνα με την Ενότητα 7γ του νόμου BSI (BSIG).” αναφέρει η ανακοίνωση του BSIt.

“Αυτό επηρεάζει τους παρόχους που έχουν πάνω από 100.000 πελάτες (Περισσότερα για το sinkholing). Δεν υπάρχει οξύς κίνδυνος για αυτές τις συσκευές, εφόσον η BSI διατηρεί το μέτρο καταβύθισης.”

Ενημερώνονται οι μολυσμένοι κάτοχοι συσκευών

Ιδιοκτήτες συσκευών που επηρεάζονται από αυτήν τη λειτουργία καταβύθισης θα ειδοποιηθεί από τους παρόχους υπηρεσιών διαδικτύου τους με βάση τη διεύθυνση IP τους.

Η υπηρεσία λέει ότι όποιος λαμβάνει μια ειδοποίηση θα πρέπει να αποσυνδέσει αμέσως τη συσκευή από το δίκτυό του ή να σταματήσει να τη χρησιμοποιεί. Δυστυχώς, καθώς το κακόβουλο λογισμικό ήταν προεγκατεστημένο με υλικολογισμικό, άλλο υλικολογισμικό από τον κατασκευαστή της συσκευής δεν πρέπει να είναι αξιόπιστο και η συσκευή πρέπει να επιστραφεί ή να απορριφθεί.

Η BSI σημειώνει ότι όλες οι συσκευές που επηρεάστηκαν εκτελούσαν ξεπερασμένες εκδόσεις Android και παλιό υλικολογισμικό, επομένως, ακόμη κι αν ήταν ασφαλισμένες έναντι του BadBox, παραμένουν ευάλωτες σε άλλα κακόβουλα προγράμματα botnet για όσο διάστημα εκτίθενται στο διαδίκτυο.

“Το κακόβουλο λογισμικό σε προϊόντα με δυνατότητα σύνδεσης στο Διαδίκτυο δεν είναι δυστυχώς σπάνιο φαινόμενο. Ιδιαίτερα οι ξεπερασμένες εκδόσεις υλικολογισμικού αποτελούν τεράστιο κίνδυνο”, προειδοποίησε η πρόεδρος της BSI, Claudia Plattner. “Όλοι έχουμε καθήκον εδώ: οι κατασκευαστές και οι έμποροι λιανικής έχουν την ευθύνη να διασφαλίσουν ότι τέτοιες συσκευές δεν βγαίνουν στην αγορά. Αλλά οι καταναλωτές μπορούν επίσης να κάνουν κάτι: η ασφάλεια στον κυβερνοχώρο πρέπει να είναι ένα σημαντικό κριτήριο κατά την αγορά!”

Επιπλέον, η ανακοίνωση αναφέρει ότι, λόγω της τεράστιας διαφοράς στους κατασκευαστές Android IoT και στις επαναλήψεις συσκευών, είναι πολύ πιθανό να υπάρχουν στη χώρα πολλές περισσότερες συσκευές που έχουν μολυνθεί από BadBox ή παρόμοιο κακόβουλο λογισμικό, τις οποίες η BSI δεν μπόρεσε να εντοπίσει αυτή τη φορά.

Αυτό μπορεί να περιλαμβάνει smartphone και tablet, έξυπνα ηχεία, κάμερες ασφαλείας, έξυπνες τηλεοράσεις, κουτιά ροής και διάφορες συσκευές συνδεδεμένες στο διαδίκτυο που ακολουθούν μια ασαφή διαδρομή από την κατασκευή έως τα δίκτυα μεταπώλησης.

Τα σημάδια ότι η συσκευή σας έχει μολυνθεί από κακόβουλο λογισμικό botnet περιλαμβάνουν υπερθέρμανση όταν φαίνεται σε αδράνεια, τυχαίες πτώσεις απόδοσης, απροσδόκητες αλλαγές ρυθμίσεων, άτυπη δραστηριότητα και συνδέσεις με άγνωστους εξωτερικούς διακομιστές.

Για να μειώσετε τον κίνδυνο απαρχαιωμένων Android IoT, εγκαταστήστε μια εικόνα υλικολογισμικού από έναν αξιόπιστο προμηθευτή, απενεργοποιήστε τις περιττές λειτουργίες συνδεσιμότητας και διατηρήστε τη συσκευή απομονωμένη από κρίσιμα δίκτυα.

Γενικά, συνιστάται να αγοράζετε έξυπνες συσκευές μόνο από αξιόπιστους κατασκευαστές και να αναζητάτε προϊόντα που προσφέρουν μακροπρόθεσμη υποστήριξη ασφαλείας.