La botnet BADBOX opera sfruttando vulnerabilità nella catena di fornitura per incorporare malware direttamente nel firmware dei dispositivi, garantendo la persistenza anche dopo i ripristini alle impostazioni di fabbrica. Le origini di questo malware risalgono alla famiglia di malware Triada e si avvale di backdoor nascosti per svolgere attività dannose. Dispositivi compromessi sono stati venduti tramite rivenditori online affidabili come Amazon ed eBay, rendendo difficile per i consumatori rilevare la minaccia. Paesi come Russia, Cina, India e Brasile figurano tra i più colpiti, con dispositivi infetti che comunicano con server di comando e controllo in attesa di ulteriori istruzioni. In modo allarmante, l’inclusione di dispositivi di fascia alta come gli Smart TV 4K di Yandex evidenzia l’espansione della portata della botnet.

Riassunto tecnico

La botnet BADBOX, precedentemente ritenuta inattiva, è riemersa con una portata e una sofisticazione preoccupanti. Infettando dispositivi basati su Android come TV, smartphone e tablet a livello di firmware, BADBOX sfrutta vulnerabilità nella catena di fornitura per compromettere i dispositivi prima ancora che raggiungano i consumatori. Con oltre 192.000 dispositivi infetti rilevati a livello globale nel 2024, inclusi marchi premium come Yandex Smart TV, BADBOX ha ampliato la superficie d’attacco, abilitando attività come proxying, esecuzione di codice da remoto e frode pubblicitaria.

Raccomandazioni

Per organizzazioni e governi:

- Collaborare per interrompere l'infrastruttura della botnet BADBOX utilizzando tecniche come il sinkholing dei domini di comando e controllo e la disabilitazione degli IP associati.
- Rafforzare le normative per imporre controlli di sicurezza nella catena di fornitura, soprattutto per dispositivi IoT e Android.
- Sviluppare e condividere meccanismi di rilevamento per identificare dispositivi infetti da BADBOX all'interno delle reti.