شبكة BADBOX 2.0 تصيب مليون جهاز أندرويد للاحتيال الإعلاني واستغلال الوكيل

كشفت الأبحاث الأمنية الحديثة عن نسخة محدثة من شبكة الاحتيال الإعلاني الضخمة ونظام الوكيل السكني المعروفة باسم BADBOX، والتي تورط فيها أربعة فاعلين رئيسيين في مجال التهديدات الإلكترونية، مما يسلط الضوء على نظام بيئي مترابط للجريمة السيبرانية.

تشمل هذه المجموعات SalesTracker Group وMoYu Group وLemon Group وLongTV، وفقًا لتقرير صادر عن فريق HUMAN Satori للبحث والمخابرات الأمنية، والذي تم نشره بالتعاون مع Google وTrend Micro وShadowserver وعدة شركاء آخرين.

تمت تسمية العملية باسم BADBOX 2.0، وهي تعد أكبر شبكة من الأجهزة المصابة والمتصلة بتلفزيونات الإنترنت (CTV) التي تم اكتشافها حتى الآن.

آلية عمل BADBOX 2.0

وفقًا للباحثين، تعتمد BADBOX 2.0، مثل سابقتها، على أبواب خلفية في الأجهزة الإلكترونية الرخيصة، مما يتيح للمهاجمين تحميل وحدات احتيالية عن بُعد. وتتصل هذه الأجهزة بخوادم قيادة وتحكم (C2) تُدار من قبل مجموعات تهديد متعاونة.

يستغل المهاجمون عدة طرق لنشر البرمجيات الخبيثة، مثل التلاعب بسلسلة التوريد للأجهزة والتطبيقات المزيفة على الأسواق الخارجية، مما يسمح بإصابة هذه الأجهزة بتطبيقات خادعة تحتوي على وظائف “لودر” سرية.

بمجرد إصابة الجهاز، يتم استخدامه في أنشطة احتيالية تشمل:

• إعلانات مخفية وإطلاق WebViews خفية لتوليد إيرادات إعلانية وهمية.
• التنقل إلى مواقع منخفضة الجودة والنقر على الإعلانات لتحقيق مكاسب مالية.
• توجيه حركة المرور عبر الأجهزة المخترقة لخدمات الوكيل السكني غير القانونية.
• استخدام الشبكة في هجمات إلكترونية مثل الاستيلاء على الحسابات، وإنشاء حسابات وهمية، ونشر البرمجيات الخبيثة، وشن هجمات DDoS.

حجم الانتشار والتأثير العالمي

يُقدّر عدد الأجهزة المصابة بحوالي مليون جهاز، تشمل أجهزة أندرويد رخيصة مثل الأجهزة اللوحية، وتلفزيونات الإنترنت، وأجهزة العرض الرقمية، وأنظمة المعلومات الترفيهية في السيارات. جميع الأجهزة المصابة مُصنّعة في الصين ويتم شحنها عالميًا.

تم الإبلاغ عن أكبر عدد من الإصابات في:

• البرازيل (37.6%)
• الولايات المتحدة (18.2%)
• المكسيك (6.3%)
• الأرجنتين (5.3%)

جهود التصدي لعملية BADBOX 2.0

تم تعطيل جزء من الشبكة للمرة الثانية خلال ثلاثة أشهر بعد حجب عدد غير محدد من نطاقات BADBOX 2.0 بهدف قطع الاتصال بين الأجهزة المخترقة وخوادم القيادة والتحكم. كما قامت Google بإزالة 24 تطبيقًا من متجر Play Store كانت تحتوي على البرمجيات الخبيثة.

وفي وقت سابق، قامت الحكومة الألمانية بتفكيك جزء من البنية التحتية لـ BADBOX 2.0 في ديسمبر 2024.

أكدت Google أن الأجهزة المصابة هي أجهزة أندرويد مفتوحة المصدر (AOSP)، وليست أجهزة تعمل بنظام Android TV OS أو معتمدة من Play Protect، مما يعني أنها لا تخضع لاختبارات الأمان والجودة التي تفرضها Google.

BADBOX 2.0 وتطور البرمجيات الخبيثة

يرتكز الهجوم على برمجية Triada، وهي برمجية خبيثة معروفة في نظام أندرويد، وتُعرف داخل العملية باسم BB2DOOR، ويتم نشرها عبر ثلاث طرق:

1. تكون مثبتة مسبقًا على الأجهزة قبل بيعها.
2. يتم تنزيلها تلقائيًا عند تشغيل الجهاز لأول مرة.
3. تُحمَّل عبر أكثر من 200 تطبيق مزيف على متاجر التطبيقات الخارجية.

تم تطوير BB2DOOR من قبل مجموعة تهديد تُعرف باسم MoYu Group، والتي تُدير خدمات وكيل سكني تعتمد على الأجهزة المصابة.

أما بقية المجموعات فتعمل على مهام محددة:

• SalesTracker Group: تراقب الأجهزة المصابة وتربطها بالبنية التحتية الأصلية لـ BADBOX.
• Lemon Group: تُشغّل خدمات الوكيل السكني وتدير حملات احتيالية عبر مواقع HTML5 للألعاب.
• LongTV: شركة ماليزية تروج للإعلانات الاحتيالية باستخدام تقنية “التوأم الشرير” (Evil Twin).

خطر مستمر وتطور مستمر

يشير الباحثون إلى أن BB2DOOR وVo1d، وهو نوع آخر من البرمجيات الخبيثة يستهدف أجهزة تلفزيونات الإنترنت الرخيصة، يشتركان في أوجه تشابه معينة، مما يبرز احتمالية وجود علاقة بينهما.

تُمثل BADBOX 2.0 تطورًا كبيرًا مقارنة بالإصدارات السابقة، حيث تعتمد الآن على تطبيقات مصابة من متاجر خارجية، وتستخدم تقنيات أكثر تطورًا لتعديل مكتبات أندرويد الشرعية من أجل ضمان استمرار الإصابة.

عمليات احتيال أخرى: حملة Vapor والبرمجيات الخبيثة المصرفية

في تطور متصل، قامت Google بحذف أكثر من 180 تطبيقًا ضمن حملة احتيال إعلاني معقدة تُعرف باسم Vapor، والتي استخدمت تطبيقات أندرويد مزيفة لنشر إعلانات فيديو تدخلية بشكل لا نهائي.

كما تم الكشف عن حملة خبيثة أخرى تستخدم مواقع وهمية تحمل شعار DeepSeek لخداع المستخدمين وتحميل برمجية مصرفية خبيثة تُعرف باسم Octo.