La botnet BADBOX opera aprovechando vulnerabilidades en la cadena de suministro para incorporar malware directamente en el firmware de los dispositivos, garantizando la persistencia incluso después de restablecer los valores de fábrica. Los orígenes de este malware se remontan a la familia de malware Triada y utiliza puertas traseras (backdoors) ocultas para realizar actividades maliciosas. Los dispositivos comprometidos se han vendido a través de minoristas en línea confiables como Amazon y eBay, lo que dificulta que los consumidores detecten la amenaza. Países como Rusia, China, India y Brasil figuran entre los más afectados, con dispositivos infectados que se comunican con servidores de comando y control a la espera de instrucciones adicionales. De manera alarmante, la inclusión de dispositivos de gama alta como los Smart TV 4K de Yandex destaca la expansión del alcance de la botnet.
| Fecha | 2024-12-20 12:09:31 |
| Información |
|
Resumen técnico
La botnet BADBOX, que anteriormente se consideraba inactiva, ha resurgido con un alcance y una sofisticación preocupantes. Al infectar dispositivos basados en Android como televisores, teléfonos inteligentes y tabletas a nivel de firmware, BADBOX aprovecha vulnerabilidades en la cadena de suministro para comprometer los dispositivos incluso antes de que lleguen a los consumidores. Con más de 192.000 dispositivos infectados detectados a nivel mundial en 2024, incluidas marcas premium como Yandex Smart TV, BADBOX ha ampliado la superficie de ataque, permitiendo actividades como proxying, ejecución remota de código y fraude publicitario.
Recomendaciones
Para organizaciones y gobiernos:
- Colaborar para interrumpir la infraestructura de la botnet BADBOX utilizando técnicas como el sinkholing de dominios de comando y control y la desactivación de las IP asociadas.
- Reforzar las normativas para imponer controles de seguridad en la cadena de suministro, especialmente para dispositivos IoT y Android.
- Desarrollar y compartir mecanismos de detección para identificar dispositivos infectados por BADBOX dentro de las redes.
[Callforaction-THREAT-Footer]