أكثر من مليون جهاز أندرويد مخترق بواسطة باب خلفي مخفي

كشف فريق من الباحثين في مجال الأمن السيبراني عن عملية احتيال ضخمة تُعرف باسم BADBOX 2.0، وقام بتعطيل جزء منها. وقد تضمنت هذه العملية شبكة بوتنت تضم أكثر من مليون جهاز مصاب يعتمد على نظام التشغيل أندرويد.

العملية، والتي تعد تطوراً لحملة BADBOX الأصلية التي تم الكشف عنها في عام 2023، استندت على بوابات خلفية مثبتة مسبقاً على أجهزة المستهلك غير المعتمدة والرخيصة الثمن لتسهيل أنشطة الجريمة الإلكترونية.

التحقيق الذي قاده فريق HUMAN’s Satori Threat Intelligence and Research بالتعاون مع Google، Trend Micro، Shadowserver، وشركاء آخرين، كشف أدلة قوية تربط الجناة وراء BADBOX بتوسيع نطاق خطة BADBOX 2.0.

تعتمد هذه الخطة على عملية BADBOX الأصلية التي تم الكشف عنها في عام 2023 وتمثل الشبكة الأكثر انتشارا لأجهزة التلفزيون المتصلة (CTV) المصابة التي تم تحديدها على الإطلاق، حيث تم اختراق أكثر من مليون جهاز أندرويد غير معتمد ومنخفض التكلفة على مستوى العالم.

تستغل BADBOX 2.0 الثغرات في الأجهزة الإلكترونية الاستهلاكية مثل أجهزة اللوح الغير المعروفة العلامة التجارية، صناديق CTV، والبروجكتورات الرقمية لتنشر وحدات الاحتيال عن بُعد. تتصل هذه الأجهزة بخوادم القيادة والتحكم (C2) التي تديرها مجموعات الجريمة الإلكترونية المتعددة.

ينتشر العدوى عبر سلاسل الإمداد المخترقة، البرامج الخبيثة المثبتة مسبقا، أو تنزيلات التطبيقات الطرف الثالث، مما يتيح للمهاجمين السيطرة على أجهزة المستخدمين الذين لا يشتبهون.

بمجرد الإصابة، تصبح هذه الأجهزة جزءًا من شبكة بوتنت الواسعة المستخدمة في الأنشطة الاحتيالية. يستخدم المهاجمونها للاحتيال في الإعلانات من خلال تشغيل إعلانات مخفية ومحاكاة التفاعل، والاحتيال في النقرات عبر توجيه حركة المرور إلى نطاقات وهمية، والتصفح التلقائي لزيادة حركة مرور المواقع الإلكترونية.

كما تمكن شبكة بوتنت الجناة من الجرائم الإلكترونية من بيع الوصول إلى عناوين IP للأجهزة المصابة لخدمات البروكسي المنزلية، مما يسهل السيطرة على الحسابات، وإنشاء حسابات وهمية، وتجاوز أنظمة التوثيق.

بالإضافة إلى ذلك، يتم استخدام الأجهزة المخترقة في هجمات DDoS وتوزيع البرمجيات الخبيثة، وسرقة كلمات المرور المرة الواحدة (OTP)، مما يتيح للمهاجمين اختطاف حسابات المستخدمين.

يتلاعب البرنامج الخبيث الذي يقوم بتشغيل BADBOX 2.0 في سلوك المستخدم ومقاييس التفاعل من خلال الإعلانات المخفية والتصفح التلقائي، مما يولد إيرادات إعلانية غير مشروعة ويشوه نظام الإعلان الرقمي.

تمكن الباحثون من تحديد أربعة مجموعات رئيسية للمجرمين الإلكترونيين متورطة في العملية. أدارت مجموعة SalesTracker البنية التحتية لـ BADBOX وتوسيعها، بينما طورت مجموعة MoYu الباب الخلفي، وتشغيل شبكة البوتنت، وتنفيذ حملة احتيال بالنقر.

تم ربط مجموعة Lemon بخدمات الوكيل السكني ومواقع الألعاب الإلكترونية الاحتيالية، وطورت LongTV تطبيقات CTV الخبيثة لتسهيل الاحتيال الإعلاني المخفي.

تمكنت HUMAN وشركاؤها من تعطيل أجزاء رئيسية من BADBOX 2.0 من خلال مراقبة بنيتها التحتية واتخاذ إجراءات مستهدفة. أزالت Google الحسابات المرتبطة بـ BADBOX وعززت Google Play Protect لمنع البرامج الضارة المرتبطة عند التثبيت.

للحد من التعرض، ينصح المستخدمون بالتحقق مما إذا كانت أجهزتهم معتمدة من Google Play Protect وتجنب الأجهزة غير المعتمدة من Android.