Cybersicherheitsexperten haben auf die Verbreitung eines neuen Botnetzes, BadBox 2.0, aufmerksam gemacht, das eine Reihe von Bedrohungen darstellt.
Das Botnet zielt vor allem auf kostengünstige IoT-Geräte ab, die über ein um sie herum organisiertes Botnet für eine Vielzahl illegaler Aktivitäten genutzt werden können, indem sie über das betroffene Produkt andere Internetgeräte im Haushalt infizieren und sogar sensible Daten abgreifen. Aktuellen Informationen zufolge ist das fragliche Botnetz in mehr als 220 Ländern in unterschiedlichem Ausmaß präsent, es handelt sich also um ein sehr großes Problem. Zu den infizierten Geräten gehört eine breite Palette von Produkten, von billigen TV-Set-Top-Boxen bis hin zu nicht zertifizierten digitalen Bilderrahmen und billigen Projektoren. Die Situation ist so gefährlich, dass das FBI bereits auf sie aufmerksam gemacht hat.
Die BadBox 2.0 selbst ist nicht ohne Präzedenzfall, denn bereits 2023 wurde die BadBox-Operation bemerkt, die hauptsächlich auf billige Android-Geräte abzielte, die nicht von Google Play Protect zertifiziert waren, aber aufgrund ihres niedrigen Preises dennoch für Verbraucher attraktiv waren, die nach kostengünstigen Produkten suchten. Diese Geräte wurden häufig bereits bei der Herstellung infiziert, d. h. der Schadcode war in der werkseitigen Firmware enthalten. Die billigen, hauptsächlich aus China stammenden Geräte mit eingebettetem Schadcode gelangten in viele Länder, aber durch eine koordinierte Operation konnte das Botnetz noch vor Ende 2024 zerschlagen werden. Verschiedene Cybersicherheitsfirmen, Technologieunternehmen und internationale Strafverfolgungsbehörden spielten eine aktive Rolle, wobei die deutschen Behörden und Google eng zusammenarbeiteten.
Die Betreiber des Botnetzes haben sich offenbar schnell auf die neue Situation eingestellt und Angriffsformen und Codes entwickelt, mit denen viele der bisherigen Sicherheitsvorkehrungen umgangen werden können. Dies stellt eine sehr ernste Bedrohung auf globaler Ebene dar und ist ein Vorbote eines neuen Kapitels in der IoT-zentrierten Cyberkriminalität. BadBox 2.0 ist jetzt viel raffinierter als sein Pendant der ersten Generation und verbreitet sich nicht nur durch die Infizierung von Produktions- und Lieferketten, sondern ist auch in der Lage, Geräte zu infizieren, die sich bereits in den Händen der Nutzer befinden. Die Infektion kann dadurch erfolgen, dass die Software eine werkseitig geöffnete Hintertür enthält, durch die sich Cyberkriminelle Zugang verschaffen können, oder sie kann auch auftreten, wenn ein Benutzer unvorsichtigerweise eine Anwendung von einer nicht autorisierten Quelle herunterlädt, die bereits infiziert ist.
Bisherige Informationen deuten darauf hin, dass hinter dem Botnetz vier Gruppen stehen, die eng zusammenarbeiten. Die Teammitglieder von SalesTracker, MoYu, Lemon und LongTV sind geschickt und effizient auf verschiedene Aufgaben verteilt: Jede Gruppe und jedes Mitglied ist für unterschiedliche Aufgaben zuständig, von der Verbreitung von Malware bis zum Verkauf gestohlener Daten.
Sobald auf das Zielgerät zugegriffen wurde, wird es sofort Teil des Botnetzes, so dass Cyberkriminelle freien Zugang dazu haben und sogar andere Geräte im lokalen Netzwerk infizieren können, wodurch die Betreiber Zugang zu sensiblen Daten wie Online-Banking-Informationen, verschiedenen Zugangsdaten oder anderen Daten erhalten, die bei den Kriminellen nicht gut aufgehoben sind.
Darüber hinaus kann das Botnet selbst nicht nur zur Datenbeschaffung, sondern auch für verschiedene illegale Aktivitäten wie Denial-of-Service-Overload-Angriffe (DDoS), die weitere Verbreitung von Malware oder andere cyberkriminelle Zwecke genutzt werden.
Die Grundlagen von BadBox gehen auf eine 2016 entdeckte Android-Malware namens Triada zurück. Dabei handelte es sich um einen Trojaner, der sich so tief in das System eingraben konnte, dass seine Aktivitäten nicht oder nur schwer zu erkennen waren. Eine weiterentwickelte Version dieses Trojaners, BadBox, hat im Laufe der Zeit begonnen, Lieferketten und Produktionsanlagen anzugreifen, und in jüngster Zeit haben wir BadBox 2.0 entdeckt, das eine noch größere Bedrohung darstellt. Diese Malware arbeitet unauffällig im Hintergrund und ist kaum zu bemerken, aber es gibt Anzeichen für ihre Aktivität, wie z. B. das Erscheinen unbekannter App-Stores auf der Benutzeroberfläche eines Geräts, unangemessene Erwärmung oder plötzliche Änderungen der Netzwerkeinstellungen. Dem FBI zufolge sind Geräte, die im Handel erhältlich sind, indem sie Zugang zu Premium-Inhalten bieten oder als "unabhängig" beworben werden, typischerweise auf einzelnen Marktplätzen oder von chinesischen Anbietern, besonders gefährlich.
Wenn sich bestätigt, dass ein Gerät infiziert sein könnte, sollte es sofort vom Internet und vorzugsweise vom lokalen Netzwerk getrennt werden, und dann sollten andere Geräte auf unbekannte Anwendungen, die unerlaubt installiert wurden, oder auf verdächtige Aktivitäten überprüft werden. Es kann sich lohnen, ein vollständiges Zurücksetzen durchzuführen, oder Sie sollten auch in Erwägung ziehen, das betreffende Gerät zu ersetzen, vorzugsweise aus einer sicheren Quelle zu beziehen.
Experten empfehlen, Geräte zu kaufen, die von Google Play Protect zertifiziert sind, und den Kauf von Geräten völlig unbekannter Hersteller, die nicht zertifiziert sind, zu vermeiden. Die Firmware sollte auf dem neuesten Stand gehalten werden, die Anwendungen sollten auf dem neuesten Stand gehalten werden und der lokale Netzwerkverkehr sollte auf Anzeichen seltsamer Aktivitäten überwacht werden. Es lohnt sich auch, Sicherheitswarnungen zu verfolgen, um zu sehen, welche Geräte betroffen sein könnten und auf welche Anzeichen man achten sollte, die auf eine Infektion hindeuten könnten.
