Google ha avviato un'importante azione legale presso il tribunale federale di New York contro 25 entità cinesi accusate di aver gestito la botnet BADBOX 2.0 e un'infrastruttura proxy residenziale. Questa botnet ha compromesso oltre 10 milioni di dispositivi Android non certificati, privi delle protezioni di sicurezza standard offerte da Google. I dispositivi infettati, che includono prodotti come TV box, proiettori digitali, sistemi di infotainment per auto e cornici digitali, sono stati distribuiti principalmente tramite la supply chain cinese e spesso risultavano già compromessi al momento dell'acquisto.

Secondo quanto dichiarato da Google, i cybercriminali hanno installato malware predefinito su questi dispositivi, sfruttandoli per perpetrate frodi pubblicitarie su larga scala e altre forme di crimine digitale. La gravità della minaccia è tale che, oltre a Google, anche il Federal Bureau of Investigation (FBI) statunitense aveva recentemente lanciato un allarme sulla botnet BADBOX 2.0.

La diffusione e la propagazione della botnet BADBOX

La botnet BADBOX è stata individuata inizialmente nel 2022 e da allora si è diffusa rapidamente in paesi come Brasile, Stati Uniti, Messico e Argentina, diventando la più grande botnet mai scoperta nel settore dei dispositivi TV connessi. I criminali informatici hanno sfruttato sia la compromissione della supply chain sia applicazioni malevole scaricate da store non ufficiali per propagare il malware, riuscendo così ad accedere alle reti domestiche degli utenti.

Gruppi criminali e modalità operative

Attraverso l'analisi di Google, è emerso che BADBOX 2.0 è gestita da più gruppi distinti: uno dedicato all'infrastruttura di comando e controllo, uno allo sviluppo e all'installazione del malware, uno specializzato nel creare versioni "gemelle maligne" di app legittime per la frode pubblicitaria e infine un gruppo che crea giochi fraudolenti per generare traffico pubblicitario illecito. Il guadagno per i cybercriminali deriva dalla creazione di account publisher nella rete pubblicitaria di Google, offrendo spazi pubblicitari su app o siti controllati dalla botnet e ricevendo compensi da Google per le visualizzazioni generate artificialmente dai dispositivi infetti.

Azioni legali e contromisure di Google

La corte ha già emesso un'ingiunzione preliminare che impone lo stop immediato alle attività della botnet BADBOX 2.0, coinvolgendo anche provider e registrar di domini nell'interrompere il traffico verso i domini malevoli. Google, inoltre, ha rafforzato i controlli di Google Play Protect per bloccare automaticamente le app correlate alla botnet. Questa azione legale rappresenta un passo fondamentale nella difesa globale contro le operazioni fraudolente che sfruttano dispositivi compromessi, proteggendo così utenti e aziende da frodi e violazioni della sicurezza digitale.