Google fa causa contro la botnet BadBox2.0! Una denuncia contro ignoti che fa pensare

Google ha intentato una causa contro gli operatori anonimi della botnet Android BadBox 2.0, accusandoli di aver orchestrato una frode globale che prendeva di mira le piattaforme pubblicitarie dell’azienda. BadBox è un malware per Android basato sul codice della famiglia di malware Triada. Spesso, i malware possono essere preinstallati su dispositivi economici fin dal primo utilizzo e infettarli tramite aggiornamenti e applicazioni dannose che a volte penetrano in Google Play e negli store di terze parti. Decoder, tablet, smart TV, smartphone, ecc. sono soggetti a infezioni.

Il malware sfrutta i dispositivi che eseguono Android Open Source Project (AOSP) per rubare dati, installare malware aggiuntivo e consentire agli aggressori di ottenere l’accesso remoto alla rete in cui si trova il dispositivo compromesso. Infatti, dopo essere stati hackerati, i dispositivi diventano parte della botnet BadBox 2.0, dove vengono utilizzati per frodi pubblicitarie o trasformati in proxy residenziali che vengono venduti ad altri aggressori e utilizzati per varie attività dannose.

La causa intentata da Google si concentra principalmente sulla frode pubblicitaria che la botnet sta commettendo ai danni delle piattaforme pubblicitarie dell’azienda. Questa frode si realizza in tre modi.

• Visualizzazione di annunci nascosti : app false e simili vengono installate silenziosamente sui dispositivi infetti, scaricando in background annunci pubblicitari nascosti da siti controllati dagli aggressori che ospitano annunci Google, generando così profitti per i truffatori.
• Siti di gioco online : ai bot viene chiesto di aprire finestre invisibili del browser in cui giocano a giochi fraudolenti che si traducono in visualizzazioni rapide di annunci Google. Ogni visualizzazione genera entrate per gli account degli editori controllati dagli aggressori.
• Frode sui clic : ai bot viene chiesto di eseguire query di ricerca su siti controllati dagli aggressori che utilizzano AdSense per la ricerca. Questo genera anche entrate per i truffatori dagli annunci visualizzati nei risultati di ricerca.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

BadBox è stato scoperto per la prima volta nel 2023 dal ricercatore di sicurezza indipendente Daniel Milisic, che aveva notato che i decoder Android T95 venduti su Amazon risultavano infettati da un malware sofisticato già dal primo momento. Alla fine del 2024, le forze dell’ordine tedesche tentarono di disattivare parte della botnet. Tuttavia, i ricercatori di BitSight segnalarono ben presto che l’operazione aveva avuto scarso impatto sul suo funzionamento. Entro la fine di dicembre, la botnet contava nuovamente oltre 192.000 dispositivi infetti in tutto il mondo.

Questa primavera, Human Security ha guidato una nuova operazione per combattere la botnet, in collaborazione con Google, Trend Micro, la Shadowserver Foundation e altri esperti. Con la botnet che ha nuovamente registrato una rapida crescita, raggiungendo quasi un milione di dispositivi IoT infetti, i ricercatori l’hanno chiamata BadBox 2.0. “Questa campagna ha colpito oltre 1 milione di dispositivi consumer. I dispositivi inclusi nella botnet BadBox 2.0 includevano tablet, decoder, proiettori digitali e altri dispositivi di fascia bassa, senza marchio e non certificati”, ha scritto Human Security. I dispositivi infetti sono soluzioni basate su Android Open Source Project, non dispositivi con sistema operativo Android TV o certificati Play Protect. Sono tutti prodotti nella Cina continentale e spediti in tutto il mondo”.

Nel marzo 2025, l’operazione è riuscita a infiltrare diversi domini, interrompendo le comunicazioni con i server di comando e controllo di 500.000 dispositivi infetti. Tuttavia, l’FBI ha recentemente segnalato che la botnet sta nuovamente crescendo, poiché i consumatori acquistano sempre più prodotti compromessi e li collegano a Internet. Ora, la causa intentata da Google sostiene che, ad aprile 2025, BadBox 2.0 abbia infettato più di 10.000.000 di dispositivi Android. Solo nello Stato di New York, ci sono più di 170.000 dispositivi infetti.

I dirigenti di Google hanno affermato di aver già rimosso migliaia di account di editori associati alla campagna dannosa, ma la botnet continua a crescere e a rappresentare un rischio sempre maggiore. “Se la campagna BadBox 2.0 non verrà fermata, la botnet continuerà a crescere”, avverte Google. “L’organizzazione criminale BadBox 2.0 continuerà a generare profitti e a utilizzarli per espandere le proprie attività, rilasciando nuovi dispositivi e nuovi malware per alimentare le proprie attività criminali, e Google sarà costretta a continuare a investire ingenti risorse finanziarie per indagare e contrastare questa frode”.

Poiché l’identità dei 25 imputati è sconosciuta e si ritiene che tutti si trovino in Cina, Google sta cercando di ottenere un risarcimento ai sensi del Computer Fraud and Abuse Act e del Racketeer Influenced and Corrupt Organizations Act (RICO). L’azienda chiede il risarcimento dei danni e un’ingiunzione permanente per poter smantellare l’infrastruttura del malware e impedirne l’ulteriore diffusione. La causa include un elenco di oltre 100 domini che fanno parte dell’infrastruttura BadBox 2.0.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.