Команда HUMAN Satori совместно с Google, Trend Micro и другими партнёрами выявила и частично нейтрализовала масштабную киберугрозу под названием BADBOX 2.0. Эта схема стала продолжением ранее раскрытой операции BADBOX и охватила более миллиона IoT-устройств — от ТВ-приставок и проекторов до автомобильных мультимедийных систем.

BADBOX 2.0 использует уязвимости недорогих Android-устройств без сертификации Google. Через встроенные «чёрные» модули злоумышленники подключают их к ботнету и запускают атаки: рекламное мошенничество, создание фальшивых аккаунтов, перехват OTP-кодов и DDoS.

Устройства заражаются тремя путями: через предустановленные бэкдоры, команды с C2-серверов при первом включении или установку приложений из сторонних источников. Среди причастных групп названы SalesTracker, MoYu, Lemon Group и LongTV. Все они пользовались общей инфраструктурой для координации атак и монетизации трафика.

Google активировал защиту Play Protect и заблокировал аккаунты злоумышленников, а эксперты HUMAN продолжают мониторинг активности BADBOX 2.0. Пользователям советуют избегать подозрительных устройств и регулярно обновлять прошивки.