Опасный вирус BadBox, который заражает устройства на базе Android, все еще активен. Он часто уже установлен на некоторых популярных моделях телевизоров, например, на Yandex 4K QLED. Это делает его обнаружение для обычного пользователя сложным.
Обычно злоумышленники ждут, пока жертва загрузит вредоносное приложение, но BadBox уже работает на устройстве сразу после покупки, что может говорить о масштабной атаке на цепочку поставок.
В декабре прошлого года было обнаружено, что BadBox заразил 192 000 устройств, несмотря на попытки правоохранительных органов пресечь его деятельность.
Специалисты Censys провели исследование активности ботнета BadBox с помощью платформы Internet Intelligence. Они обратили внимание на подозрительный SSL/TLS сертификат, который использовался в инфраструктуре вируса. Это позволило обнаружить пять IP-адресов и множество доменов, принадлежащих одной кибергруппировке.
Дальнейшее расследование показало, что все пять IP-адресов, связанных с BadBox, использовали один хостовый SSH-ключ.
Рекомендуется быть осторожным при покупке устройств от малоизвестных производителей. Важно также регулярно обновлять установленное программное обеспечение и использовать антивирусные продукты для обнаружения угрозы.
