Android-Geräte und die BadBox-Malware

Android-Geräte werden durch eine als BadBox bezeichnete Malware bedroht. Sicherheitsforscher haben Anfang März 2025 ein Botnetz mit 500.000 infizierten Geräten von dieser Malware befreit.

Android-Geräte durch BadBox-Malware bedroht

Ich hatte im Dezember 2024 im Blog-Beitrag BadBox: BSI warnt vor Malware auf IoT-Geräten eine Warnung des Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dieser Malware thematisiert.

Das BSI war auf eine Schadsoftware namens BadBox gestoßen, die auf IoT-Geräten vorinstalliert war. Allen Geräten war gemein, dass sie mit veralteten Android-Versionen betrieben werden und mit vorinstallierter Schadsoftware ausgeliefert wurden.

• BadBox ist in der Lage, unbemerkt Accounts für E-Mail- und Messenger-Dienste zu erstellen, über die anschließend Fake-News verbreitet werden können. Weiterhin kann
• BadBox Werbebetrug (Ad-Fraud) durchführen, indem es im Hintergrund Webseiten ansteuert.
• Darüber hinaus kann die Schadsoftware als Residental-Proxy-Service fungieren. Dabei stellt sie die Internetverbindung der Nutzerinnen und Nutzer unbekannten Dritten zur Verfügung, die diese dann für kriminelle Aktivitäten (Cyberangriffe, Verbreitung illegaler Inhalte) nutzen können. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden.
• Darüber hinaus kann BadBox weitere Schadsoftware nachladen.

Das BSI hat im Dezember 2024 damit begonnen, im Rahmen einer Sinkholing-Maßnahme (siehe auch) nach § 7c BSI-Gesetz (BSIG) – die Kommunikation betroffener Geräte mit den Kontrollservern der Täter umzuleiten.

Weitere Erkenntnisse zum BadBox-Botnet

Zum 6. März 2025 gab es dann eine Meldung, dass Trend Micro, Human Security, Google und Shadowserver eine ausgeklügelte Botnet-Operation in einer gemeinsamen Aktion aufgedeckt haben. Das Botnet hat über 1 Million markenfremde Android-Geräte infiziert.

Dieses Botnet ist wohl eine Weiterentwicklung der BADBOX-Operation von 2023 und beinhaltet vorinstallierte Malware auf nicht zertifizierten Android-Geräten. Die infizierten Android-Geräte ermöglichen verschiedene betrügerische Aktivitäten wie programmatischen Anzeigenbetrug, Klickbetrug, Proxyjacking und die Schaffung eines globalen Botnetzes in 222 Ländern und Gebieten.

Die Sicherheitsanbieter geben an, dass die Botnet-Operation auch über 200 neu gebündelte, beliebte Apps auf Marktplätzen von Drittanbietern umfasst, die infiziert sind und als alternative Backdoor-Delivery-Systeme dienen. Wired geht in diesem Artikel auf die neuen Erkenntnisse ein.

Fyodor Yarochkin, Threat Solution Architect bei Trend Micro Research, dazu: "Die Unterbrechung der cyberkriminellen Infrastruktur ist kein leichtes Unterfangen – es erfordert ein gemeinsames Vorgehen der wichtigsten Branchenakteure, um echte Veränderungen zu bewirken. Die Gefahren, die von infizierten Endgeräten in der Lieferkette ausgehen, lauern schon seit Jahren unter der Oberfläche. Die Veröffentlichung der Ergebnisse dieser laufenden Aktivitäten ist ein Weckruf, der das wahre Ausmaß und die Schwere der Risiken aufzeigt, die von bösartigen Akteuren ausgehen, die die Infrastruktur auf dieser Ebene kontrollieren. Wir haben uns in den letzten Jahren ausführlich mit diesem Thema befasst, doch unsere Beobachtungen zeigen, dass sich wenig geändert hat. Diese Gruppen verfeinern lediglich ihre Taktiken, geben sich einen neuen Namen und setzen ihre Aktivitäten fort. Es ist Zeit für eine stärkere, branchenübergreifende Zusammenarbeit, um diesen Kreislauf zu durchbrechen und eine nachhaltige Wirkung zu erzielen."

Neue Aktion gegen BadBox-Botnet

Anfang März 2025 berichtet Bleeping Computer in diesem Artikel, dass das Threat Intelligence Team von HUMAN in Zusammenarbeit mit Google, Trend Micro, der Shadowserver Foundation und anderen Partnern eine weitere Aktion gegen das BadBox-Botnet unternommen hat. Es ist dort aber die Rede vom BadBox 2.0 Botnet, um das nach der BSI-Aktion gewachsene Botnet von der ursprünglichen Variante zu unterscheiden.

In diesem Beitrag beschreiben die HUMAN-Sicherheitsforscher die Strukturen des BadBox 2.0-Botnet, welches vor allem No-Name Android-Geräte, die in China zusammen gebaut werden, befällt. In einer weiteren Aktion konnten die Sicherheitsexperten wohl 500.000 infizierte Geräte übernehmen, so dass diese nicht mehr unter Kontrolle des Botnetes stehen. Das einzig Gute an dieser Geschichte ist, dass Deutschland und die Nachbarländer wohl nicht zu den stark befallenen Bereichen gehören.