Android malware

BadBoxのAndroidマルウェア・ボットネットは、最近ドイツでシンクホール(陥没穴)作戦が行われたにもかかわらず、世界中で192,000台以上の感染デバイスに拡大している。

BitSightの研究者は、このマルウェアは、その標的を無名の中国製Androidデバイスだけでなく、Yandex TVやHisenseのスマートフォンなど、より有名で信頼できるブランドにまで拡大しているようだと警告しています。

マルウェアBadBoxボットネット

BadBoxは、「Triada」マルウェア・ファミリーをベースにしていると思われるAndroidマルウェアで、無名のメーカーが製造したデバイスを、ファームウェアへのサプライ・チェーン攻撃、従業員の不正行為、または製品流通段階に入ってからのインジェクションによって感染させる。

このマルウェアは、2023年初頭にカナダのセキュリティ・コンサルタント、ダニエル・ミリシックによってアマゾンから購入されたT95 Android TVボックスで初めて発見された。それ以来、このマルウェアの活動は、オンラインで販売されている他の無名製品にも拡大している。

BadBoxキャンペーンの目的は金銭的な利益であり、デバイスを住宅用プロキシに変えたり、広告詐欺を行うために使用したりすることで達成される。このような住宅用プロキシは、他のユーザー(多くの場合サイバー犯罪者)に貸し出され、ユーザーはデバイスをプロキシとして使用して攻撃やその他の詐欺行為を行います。

さらに、BadBox マルウェアを使用して、Android 端末に追加の悪意のあるペイロードをインストールし、より危険な操作を可能にすることもできます。

Malware activity flow
マルウェア活動の流れ
BitSight

先週、ドイツの連邦情報セキュリティ局(BSI)は、マルウェアのコマンド・アンド・コントロール・サーバーの1つをシンクホールし、30,000台のAndroidデバイスの通信を遮断したことで、同国におけるBadBoxマルウェアの活動を中断させたと発表しました。

これらのデバイスは主にAndroidベースのデジタルフォトフレームとメディアストリーミングボックスであったが、BSIはBadBoxがより多くの製品カテゴリーに存在する可能性が非常に高いと警告している。

成長を続けるBadBox

BitSightの新レポートによると、BadBoxの活動はドイツの警察による措置にもかかわらず拡大を続けており、研究者は192,000台のテレビやスマートフォンにAndroidマルウェアがインストールされていることを確認しています。

BitSightのリサーチャーであるペドロ・ファレによると、サイバーセキュリティ会社は、BadBoxマルウェアのオペレーションで使用されているコマンド・アンド・コントロール・サーバーの1つを陥没させることができたという。

現在、研究者たちはこのドメインをコントロールしているため、デバイスがこのドメインに接続しようとしたときに、どれだけのユニークなIPアドレスが影響を受けているかを確認することができる。

「現実には、BADBOXはまだ生きており、広がっているようだ

「これは、BitsightがBADBOXドメインのシンクホールに成功し、24時間以内に160,000以上のユニークIPを登録したことからも明らかです。この数は着実に増え続けている。

検出されたデバイスの数は、以前このボットネットのピークと考えられていた約74,000台の侵害されたデバイスをはるかに上回っています。

感染したデバイスのうちおよそ16万台は、ロシアで非常に人気の高いYandex 4K QLED Smart TVと、Hisense T963スマートフォンである。

「YNDX-00091からYNDX-000102までの[影響を受けた]モデルは、有名ブランドの4Kスマートテレビであり、安価なAndroid TVボックスではありません」とBitSightは説明しています。

「主要ブランドのスマートTVがBadBoxコマンド&コントロール(C2)ドメインとこれほどのボリュームで直接通信しているのが確認されたのは初めてであり、影響を受けるデバイスの範囲がAndroid TVボックス、タブレット、スマートフォン以外にも広がっている」とBitSightは説明している。

BitSightによって検出されたデバイスは、主にロシア、中国、インド、ベラルーシ、ブラジル、ウクライナにあります。

Location of devices communicating with the BadBox servers
BadBoxサーバーと通信しているデバイスの所在地
出典:BitSight:ビットサイト

BitSightはまた、BSIの最近の作戦は地理的に限定されていたため、遠隔測定データに影響を与えず、BadBoxのAndroidマルウェア作戦は衰えることなく継続できたと報告しています。

BadBoxはさらに多くの主要ブランドに拡大しているため、消費者は最新のファームウェア・セキュリティ・アップデートを適用し、スマート・デバイスをより重要なシステムから切り離し、使用していないときはインターネットから切断することが極めて重要である。

しかし、お使いのデバイスにセキュリティ・アップデートやファームウェア・アップデートが提供されていない場合は、ネットワークから切断するか、完全に電源を切ることを強くお勧めします。

BadBoxボットネット感染の兆候としては、プロセッサの高い使用率による過熱やパフォーマンスの低下、非定型のネットワーク・トラフィック、デバイス設定の変更などが挙げられます。

グーグルの広報担当者は、上記の記事に関して次のようなコメントを寄せている:

「感染が発見されたこれらのブランド外のデバイスは、Play Protect認定のAndroidデバイスではありませんでした。Playプロテクト認証を受けていない端末の場合、Googleはセキュリティおよび互換性テストの結果を記録していません。Playプロテクト認定Android端末は、品質とユーザーの安全性を確保するために広範なテストを受けています。デバイスがAndroid TV OSで構築され、Play Protect認定を受けているかどうかを確認するために、当社のAndroid TVウェブサイトでは、パートナーの最新リストを提供しています。また、お使いのデバイスがPlay Protect認定を受けているかどうかを確認するには、以下の手順を実行することもできます。”- グーグル広報担当者