Human Security携手谷歌、Shadowserver等组织，成功瘫痪了其C2运营，影响50万台感染设备。臭名昭著的安卓恶意软件僵尸网络Badbox在15个月内第三次被瓦解，超过50万台感染设备已被控制。

　　由僵尸网络检测和缓解平台Human Security牵头的协同行动，有望重创这一突然膨胀的网络犯罪活动，该活动已导致全球超过100万台安卓设备受损。“Human的Satori威胁情报与研究团队最近发现并——携手谷歌、趋势科技、Shadowserver等合作伙伴——部分瓦解了一个复杂且庞大的欺诈行动，即‘Badbox 2.0’，”Human研究人员在博客文章中表示。Badbox僵尸网络通过受损的消费电子产品（主要是安卓电视盒子）传播恶意软件。　

　　自早期打击行动以来，该行动规模增长数倍

　　Satori研究人员观察到Badbox行动已演变为Badbox 2.0，确认打击行动只是让威胁分子暂时受挫。自2023年首次曝光后，Badbox的C2服务器被关闭，感染设备也从主要市场移除。然而，攻击者迅速调整策略，进行小幅修改以躲避检测，并在2024年12月成功躲避了德国当局的第二次重大打击。

　　“BADBOX 2.0计划在目标设备类型增加、感染设备数量、实施的不同欺诈类型以及计划复杂性方面，都比我们2023年所见更为庞大和严重，”Human的首席信息安全官加文·里德在新闻稿中表示。“此次行动体现了现代网络攻击相互关联的特点，以及威胁分子如何针对客户旅程，并证明了企业为何需要全方位防护，以抵御数字欺诈和滥用的影响。”

　　调查揭示了攻击者使用的欺骗性战术，包括Saletracker的伪造版本，该模块最初是由一家中国设备制造商设计用于销售监控。攻击者将基于Triada的后门伪装在这个伪造模块之下，将其用作控制感染设备的掩护。此外，威胁分子还建立了一系列域名来托管新的C2服务器。到2024年春季，Satori研究人员发现了与这些C2服务器相关联的新型后门测试版。“Satori发现Badbox 2.0感染的设备数量已超过100万台，而最初Badbox计划感染的设备数量为7.4万台，”Human补充道。

　　Badbox 2.0实施多种欺诈行为

　　Badbox 2.0通过后门渗透低成本消费设备，使威胁分子能够远程部署欺诈模块。这些设备连接到威胁分子控制的C2服务器，一旦被激活，就可能执行多种攻击，包括程序化广告欺诈、点击欺诈和住宅代理服务器攻击——这些攻击反过来又有助于实施账户接管、虚假账户创建、DDoS攻击、恶意软件分发和一次性密码（OTP）窃取等。

　　“Badbox 2.0威胁分子还在第三方市场上运营了200多个重新打包和感染过的流行应用版本，作为另一种后门传播系统，”研究人员补充道。其中，团队发现了24个“邪恶孪生”应用，它们在Google Play商店有对应的“诱饵孪生”应用，通过这些应用实施广告欺诈。

　　Human与谷歌合作，将这些应用从Google Play商店下架。“我们很高兴能与Human合作，对Badbox行动采取行动，保护消费者免受欺诈，”谷歌Android安全与隐私工程及保障主管Shailesh Saini在新闻稿中表示。

　　“受感染的设备是Android开源项目设备，而非Android TV操作系统设备或经过Play Protect认证的Android设备。”Saini补充道，用户应确保启用Google Play Protect，这是Android的恶意软件保护机制，在带有Google Play服务的设备上默认开启。

　　Human Security与网络安全组织Shadowserver Foundation合作，使多个Badbox 2.0域名失效，从而破坏了超过50万台受感染设备与僵尸网络C2服务器之间的通信。