BadBox rapidly grows, 190,000 Android devices infected
BadBox rapidly grows, 190,000 Android devices infected - Security Affairs
Experts uncovered a botnet of 190,000 Android devices infected by BadBox bot, primarily Yandex smart TVs and Hisense smartphones.
securityaffairs.com
- BadBox 봇넷 개요
- BadBox는 19만 대 이상의 안드로이드 기기에 감염된 봇넷으로, Yandex 스마트 TV와 Hisense 스마트폰이 주요 감염 대상
- 감염된 기기 대다수가 러시아, 중국, 인도, 벨라루스, 브라질, 우크라이나에 분포
- Bitsight 연구팀에 의해 봇넷 활동이 확인되었으며, 매일 16만 개 이상의 고유 IP가 C2(Command and Control) 서버와 통신
- 감염 경로 및 기기 특징
- 감염된 기기는 Yandex 4K QLED 스마트 TV 및 T963 Hisense 스마트폰과 같은 고급 모델 포함
- BadBox는 기기 부팅 시 C2 서버에 원격 명령 대기를 위한 텔레메트리 데이터를 전송
- 악성 코드가 사전 설치된 펌웨어를 통해 유통되며, 사용자 동의 없이 이메일 및 메시징 계정을 생성해 허위 정보 유포
- 악성 코드 기능
- 광고 사기를 위해 백그라운드에서 웹사이트 접속
- 사용자 인터넷 연결을 주거용 프록시로 활용해 범죄 활동에 사용자 IP 주소를 연루
- 추가 악성 페이로드 다운로드 기능으로 보안 위험 증대
- 탐지 및 대응
- 독일 정보보안청(BSI)은 BadBox 봇넷과 C2 서버 간의 통신 차단을 위한 싱크홀(Sinkholing) 작업 수행
- 싱크홀 작업: 감염 기기의 트래픽을 공격자 서버 대신 보안 연구원이 관리하는 서버로 리다이렉션
- 독일 내 3만 대 이상의 감염 기기 통신 차단
- 감염 기기의 공통점:
- 안드로이드 구형 버전 사용
- 학교 네트워크 및 공공기관 환경에서도 발견
- 그러나 BSI의 작업은 독일에 한정되어 BadBox 글로벌 확산에는 제한적 효과
- 독일 정보보안청(BSI)은 BadBox 봇넷과 C2 서버 간의 통신 차단을 위한 싱크홀(Sinkholing) 작업 수행
- 공급망 위협 및 글로벌 확산
- BadBox는 공급망 공격을 통해 악성 펌웨어를 사전 설치한 제품을 유통
- 2023년, Human Security는 BadBox가 전 세계적으로 7만 4천 대 이상의 모바일 기기, 태블릿, TV 박스에 영향을 미쳤음을 발표
- 악성 펌웨어가 미국의 공립학교 네트워크에서도 발견되어 위협이 확산
- 결론
- BadBox는 공급망 보안 취약성을 악용해 글로벌 수준의 보안 위협을 가중
- 사용자는 최신 안드로이드 버전으로 업데이트를 유지하고, 공식 경로를 통해 인증된 기기를 구매해야 함
- 각국 보안 기관은 글로벌 협력을 통해 봇넷의 확산 방지 및 제거 작업을 강화해야 함
- 제조업체는 공급망 보안 점검 및 펌웨어 무결성 검증 절차를 강화해야 함