¡Google presenta una demanda contra la botnet BadBox2.0! Una demanda que invita a la reflexión contra desconocidos.

Redazione RHC : 19 julio 2025 13:53

Google ha presentado una demanda contra los operadores anónimos de la botnet Android BadBox 2.0, acusándolos de orquestar un fraude global dirigido a las plataformas publicitarias de la compañía. BadBox es un malware para Android basado en código de la familia de malware Triada. El malware suele venir preinstalado de fábrica en dispositivos económicos e infectarlos a través de actualizaciones y aplicaciones maliciosas que, en ocasiones, se filtran a Google Play y tiendas de terceros. Los decodificadores, tabletas, televisores inteligentes, teléfonos inteligentes, etc., son susceptibles a infecciones.

El malware explota dispositivos que ejecutan el Proyecto de Código Abierto de Android (AOSP) para robar datos, instalar malware adicional y permitir que los atacantes obtengan acceso remoto a la red donde se encuentra el dispositivo comprometido. Tras ser hackeados, los dispositivos pasan a formar parte de la botnet BadBox 2.0, donde se utilizan para fraude publicitario o se transforman en proxies residenciales que se venden a otros atacantes y se emplean para diversas actividades maliciosas.

La demanda de Google se centra principalmente en el fraude publicitario que la botnet comete contra las plataformas publicitarias de la compañía. Este fraude se lleva a cabo de tres maneras.

• Mostrar anuncios ocultos: Se instalan aplicaciones falsas y similares de forma silenciosa en dispositivos infectados, descargando anuncios ocultos en segundo plano desde sitios web controlados por atacantes que alojan anuncios de Google, lo que genera ganancias para los estafadores.
• Sitios de juegos en línea: Se indica a los bots que abran ventanas invisibles del navegador donde ejecutan juegos fraudulentos que provocan la visualización rápida de anuncios de Google. Cada visualización genera ingresos para las cuentas de editor controladas por el atacante.
• Fraude de clics: Se solicita a los bots que realicen búsquedas en sitios controlados por el atacante que usan AdSense para búsquedas. Esto también genera ingresos para los estafadores gracias a los anuncios que se muestran en los resultados de búsqueda.

BadBox fue descubierto por primera vez en 2023 por el investigador de seguridad independiente Daniel Milisic, quien observó que los decodificadores Android T95 vendidos en Amazon estaban infectados con malware sofisticado desde el principio. A finales de 2024, las fuerzas del orden alemanas intentaron desmantelar parte de la botnet. Sin embargo, los investigadores de BitSight pronto informaron que la operación tuvo poco impacto en su funcionamiento. A finales de diciembre, la botnet contaba de nuevo con más de 192 000 dispositivos infectados en todo el mundo.

Esta primavera, Human Security lideró una nueva operación para combatir la botnet, en colaboración con Google, Trend Micro, la Fundación Shadowserver y otros expertos. Dado que la botnet volvió a experimentar un rápido crecimiento, alcanzando casi un millón de dispositivos IoT infectados, los investigadores la denominaron BadBox 2.0. «Esta campaña afectó a más de un millón de dispositivos de consumo. Entre los dispositivos incluidos en la botnet BadBox 2.0 se encontraban tabletas, decodificadores, proyectores digitales y otros dispositivos de gama baja, sin marca y sin certificación», escribió Human Security. Los dispositivos infectados son soluciones basadas en el Proyecto de Código Abierto de Android, no dispositivos con Android TV ni Play Protect certificado. Todos se fabrican en China continental y se envían a todo el mundo.

Para marzo de 2025, la operación se había infiltrado con éxito en varios dominios, interrumpiendo las comunicaciones con los servidores de comando y control de 500.000 dispositivos infectados. Sin embargo, el FBI informó recientemente que la botnet está creciendo de nuevo, ya que cada vez más consumidores compran productos comprometidos y los conectan a internet. Ahora, la demanda de Google afirma que, hasta abril de 2025, BadBox 2.0 había infectado más de 10.000.000 de dispositivos Android. Solo en el estado de Nueva York, hay más de 170,000 dispositivos infectados.

Los ejecutivos de Google afirmaron que ya han eliminado miles de cuentas de editores asociadas con la campaña maliciosa, pero la botnet sigue creciendo y representa un riesgo cada vez mayor. «Si no se detiene la campaña BadBox 2.0, la botnet seguirá creciendo», advierte Google. «La organización criminal BadBox 2.0 seguirá generando ingresos y los utilizará para expandir sus operaciones, lanzando nuevos dispositivos y malware para impulsar sus actividades delictivas, y Google se verá obligado a seguir invirtiendo importantes recursos financieros para investigar y combatir este fraude».

Dado que se desconoce la identidad de los 25 acusados y se cree que todos se encuentran en China, Google solicita una indemnización por daños y perjuicios en virtud de la Ley de Fraude y Abuso Informático y la Ley de Organizaciones Corruptas e Influenciadas por el Crimen Organizado (RICO). La empresa solicita una indemnización y una orden judicial permanente para desmantelar la infraestructura del malware y evitar su propagación. La demanda incluye una lista de más de 100 dominios que forman parte de la infraestructura de BadBox 2.0.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli