Alemania elimina el malware BadBox precargado en dispositivos Android

Android

Software malicioso para Android

La Oficina Federal Alemana para la Seguridad de la Información (BSI) ha interrumpido el funcionamiento del malware BadBox precargado en más de 30.000 dispositivos Android IoT vendidos en el país.

Los tipos de dispositivos afectados incluyen marcos de fotos digitales, reproductores multimedia y transmisores, y potencialmente teléfonos inteligentes y tabletas.

BadBox es un malware para Android que viene preinstalado en el firmware de un dispositivo conectado a Internet y se utiliza para robar datos, instalar malware adicional o permitir que actores maliciosos accedan de forma remota a la red donde se encuentra el dispositivo.

Cuando un dispositivo infectado se conecta por primera vez a Internet, el malware intenta ponerse en contacto con un servidor de comando y control remoto administrado por los actores maliciosos. Este servidor remoto le indicará al malware BadBox qué servicios maliciosos deben ejecutarse en el dispositivo y también recibirá los datos robados a través de la red.

BSI afirma que el malware puede robar códigos de autenticación de dos factores, instalar otro malware y crear cuentas de plataformas de mensajería y correo electrónico para difundir noticias falsas. También puede participar en fraude publicitario al cargar y hacer clic en anuncios en segundo plano, generando ingresos para las redes fraudulentas.

Finalmente, BadBox se puede configurar para que actúe como un proxy, permitiendo que otras personas utilicen el ancho de banda de Internet y el hardware del dispositivo para enrutar su propio tráfico. Esta táctica, conocida como proxy residencial, a menudo implica operaciones ilegales que involucran la dirección IP del usuario.

La agencia de ciberseguridad de Alemania afirma haber bloqueado la comunicación entre los dispositivos maliciosos BadBox y su infraestructura de comando y control (C2) al bloquear las consultas DNS para que el malware se comunicara con servidores controlados por la policía en lugar de con los servidores de comando y control del atacante.

Sinkholing evita que el malware envíe datos robados a los atacantes y reciba nuevos comandos para ejecutar en el dispositivo infectado, evitando así que el malware funcione.

«La BSI está actualmente redirigiendo la comunicación de los dispositivos afectados a los servidores de control de los autores como parte de una medida de sumidero de acuerdo con la Sección 7c de la Ley BSI (BSIG)», lee anuncios de BSIt.

«Se trata de proveedores que tienen más de 100.000 clientes (más información sobre los sumideros). No existe ningún peligro grave para estos dispositivos, siempre que BSI mantenga la medición de los sumideros».

Se debe informar a los propietarios de dispositivos infectados

Propietarios de dispositivos afectados por esta operación de sumidero será informado por sus proveedores de servicios de Internet en función de su dirección IP.

La agencia dice que cualquier persona que reciba una notificación debe desconectar inmediatamente el dispositivo de su red o dejar de usarlo. Desafortunadamente, debido a que el malware viene preinstalado con el firmware, no se debe confiar en otros firmware del fabricante del dispositivo y el dispositivo debe devolverse o desecharse.

BSI señala que todos los dispositivos afectados ejecutaban versiones de Android obsoletas y firmware antiguo. Entonces, incluso si estuvieran protegidos contra BadBox, siguen siendo vulnerables a otro malware de botnet siempre que estén expuestos en línea.

«Desafortunadamente, el malware en productos conectados a Internet no es un fenómeno raro. Especialmente las versiones de firmware obsoletas representan un gran riesgo», advirtió la presidenta de BSI, Claudia Plattner. «Todos tenemos un deber aquí: los fabricantes y minoristas tienen la responsabilidad de garantizar que este tipo de dispositivos no se comercialicen. Pero los consumidores también pueden hacer algo: ¡la ciberseguridad debe ser un criterio importante a la hora de adquirir!»

Además, el anuncio menciona que debido a la amplia diversidad de fabricantes de Android IoT e iteraciones de dispositivos, es muy probable que existan muchos otros dispositivos infectados con BadBox o malware similar en el país, que BSI no pudo identificar esta vez.

Esto puede incluir teléfonos inteligentes y tabletas, parlantes inteligentes, cámaras de seguridad, televisores inteligentes, cajas de transmisión y varios dispositivos conectados a Internet que siguen un camino oscuro desde la fabricación hasta la reventa en las redes.

Las señales de que su dispositivo está infectado con malware de botnet incluyen sobrecalentamiento cuando parece inactivo, caídas aleatorias del rendimiento, cambios inesperados en la configuración, actividad atípica y conexiones a servidores externos desconocidos.

Para mitigar el riesgo de Android IoT desactualizado, instale una imagen de firmware de un proveedor confiable, desactive las funciones de conectividad innecesarias y mantenga el dispositivo aislado de las redes críticas.

Generalmente, se recomienda comprar dispositivos inteligentes sólo de fabricantes acreditados y buscar productos que ofrezcan soporte de seguridad a largo plazo.