{"id":312353,"date":"2025-06-07T09:57:39","date_gmt":"2025-06-07T07:57:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312353"},"modified":"2025-06-07T09:58:29","modified_gmt":"2025-06-07T07:58:29","slug":"fbi-warnt-millionen-android-geraete-durch-badbox-2-0-malware-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/07\/fbi-warnt-millionen-android-geraete-durch-badbox-2-0-malware-infiziert\/","title":{"rendered":"FBI warnt: Millionen Android-Ger\u00e4te durch BadBox 2.0 Malware infiziert"},"content":{"rendered":"

\"SicherheitDas amerikanische FBI hat zum 5. Juni 2025 eine allgemeine Warnung herausgegeben, die vor der Infektion von Android-Ger\u00e4ten mit der Malware BadBox 2.0 warnt. Laut dieser Warnung m\u00fcssen Millionen von Android-Ger\u00e4ten infiziert sein. Es ist nicht die erste Warnung vor\u00a0 der BadBox-Malware, die inzwischen zum BADBOX 2.0-Botnet weiter entwickelt wurde.<\/p>\n

<\/p>\n

Was sind BadBox und BadBox 2.0?<\/h2>\n

\"\"BadBox ist eine Malware, die sich auf Android-Ger\u00e4ten einnisten und dort Schaden anrichten kann. Die Malware treibt seit 2023 ihr Unwesen – oft auf veralteten Android-Ger\u00e4ten, die keine Updates mehr bekommen.<\/p>\n

Der Sch\u00e4dling ist in der Lage, unbemerkt Accounts f\u00fcr E-Mail- und Messenger-Dienste zu erstellen, \u00fcber die anschlie\u00dfend Fake-News verbreitet werden k\u00f6nnen. Weiterhin kann BadBox Werbebetrug (Ad-Fraud) durchf\u00fchren, indem es im Hintergrund Webseiten ansteuert.<\/p>\n

Dar\u00fcber hinaus kann die Schadsoftware als Residental-Proxy-Service fungieren. Dabei stellt sie die Internetverbindung der Nutzerinnen und Nutzer unbekannten Dritten zur Verf\u00fcgung, die diese dann f\u00fcr kriminelle Aktivit\u00e4ten (Cyberangriffe, Verbreitung illegaler Inhalte) nutzen k\u00f6nnen. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden.<\/p>\n

BSI-Ma\u00dfnahme zur Abschaltung von BadBox<\/h3>\n

Im Dezember 2024 hatte ich im Beitrag BadBox: BSI warnt vor Malware auf IoT-Ger\u00e4ten<\/a> berichtet, dass vom BSI eine Ma\u00dfnahme zur Abschaltung dieser Malware-Infrastruktur eingeleitet wurde.\u00a0 Dazu wird die Kommunikation betroffener Ger\u00e4te mit den Kontrollservern der T\u00e4ter von Providern, die \u00fcber 100.000 Kundinnen und Kunden haben, auf Sinkhole-Server umgeleitet.\u00a0F\u00fcr diese Ger\u00e4te (betrifft Deutschland) besteht keine akute Gefahr mehr, solange das BSI die Sinkholing-Ma\u00dfnahme aufrechterh\u00e4lt, hie\u00df es damals.<\/p>\n

Neues BadBox 2.0-Botnet<\/h3>\n

Allerdings gab es im M\u00e4rz 2025 eine Meldung, dass Trend Micro, Human Security, Google und Shadowserver eine ausgekl\u00fcgelte BadBox 2.0 Botnet-Operation in einer gemeinsamen Aktion aufgedeckt haben. Das Botnet hatte damals \u00fcber 1 Million markenfremde Android-Ger\u00e4te infiziert. Dieses Botnet ist wohl eine Weiterentwicklung der BADBOX-Operation von 2023 und beinhaltet vorinstallierte Malware auf nicht zertifizierten Android-Ger\u00e4ten. Ich hatte im Blog-Beitrag Android-Ger\u00e4te und die BadBox-Malware<\/a> vor dieser Malware gewarnt, aber den Begriff BadBox 2.0 f\u00fcr die Weiterentwicklung nicht verwendet.<\/p>\n

Neue FBI-Warnung vor BadBox 2.0<\/h2>\n

Nun hat das FBI zum 5. Juni 2025 eine Warnung ver\u00f6ffentlicht<\/a>, dass mit dem Internet verbundene Heimger\u00e4te kriminelle Aktivit\u00e4ten erleichtern. IoT-Ger\u00e4te werden vom BADBOX 2.0-Botnetzes gekapert, um kriminelle Aktivit\u00e4ten durchzuf\u00fchren.<\/p>\n

Cyberkriminelle verschaffen sich \u00fcber kompromittierte IoT-Ger\u00e4te wie TV-Streaming-Ger\u00e4te, digitale Projektoren, Aftermarket-Infotainment-Systeme f\u00fcr Fahrzeuge, digitale Bilderrahmen und andere Produkte unbefugten Zugang zu Heimnetzwerken. Die meisten der infizierten Ger\u00e4te wurden in China hergestellt, hei\u00dft es in der FBI-Warnung.<\/p>\n

Cyberkriminelle verschaffen sich unbefugten Zugang zu Heimnetzwerken, indem sie entweder das Produkt vor dem Kauf mit b\u00f6sartiger Software konfigurieren oder das Ger\u00e4t infizieren, wenn es erforderliche Anwendungen (mit integrierten Hintert\u00fcren) herunterl\u00e4dt. Dieser Download erfolgt in der Regel w\u00e4hrend des Einrichtungsprozesses.<\/p>\n

Sobald diese kompromittierten IoT-Ger\u00e4te mit Heimnetzwerken verbunden sind, sind die infizierten Ger\u00e4te anf\u00e4llig daf\u00fcr, Teil des BADBOX 2.0-Botnets und der Proxy-Dienste f\u00fcr Privatanwender zu werden, und dann f\u00fcr b\u00f6sartige Aktivit\u00e4ten genutzt zu werden. Auch das FBI weist darauf hin, dass das BADBOX 2.0-Botnet eine Weiterentwicklung der 2024 gestoppten BadBox-Malware sei.<\/p>\n

BADBOX 2.0 kann nicht nur Ger\u00e4te vor dem Kauf kompromittieren, sondern auch Ger\u00e4te durch den Download b\u00f6sartiger Apps von inoffiziellen Marktpl\u00e4tzen infizieren. Das BADBOX 2.0-Botnetz besteht aus Millionen infizierter Ger\u00e4te und verf\u00fcgt \u00fcber zahlreiche Hintert\u00fcren zu Proxy-Diensten, die Cyberkriminelle ausnutzen, indem sie kompromittierte Heimnetzwerke f\u00fcr verschiedene kriminelle Aktivit\u00e4ten entweder verkaufen oder kostenlos zur Verf\u00fcgung stellen.<\/p>\n

Kompromittierung erkennen<\/h3>\n

Das FBI nennt unter anderem m\u00f6gliche Indikatoren, die auf BADBOX 2.0-Botnet-Aktivit\u00e4ten hinweisen:<\/p>\n