Google ha avviato un’azione legale negli Stati Uniti per provare a sradicare BadBox 2.0, una rete di dispositivi Android compromessi su scala globale. Secondo quanto riportato, sarebbero almeno 10 milioni i device coinvolti, in gran parte TV box economici senza marchio, distribuiti attraverso canali non ufficiali e spesso utilizzati per accedere a contenuti in streaming gratuito o pirata.
Questi dispositivi, venduti a basso costo, sono in realtà strumenti controllati da remoto: all’insaputa degli utenti, diventano parte di una rete proxy residenziale utilizzata per falsificare clic pubblicitari, diffondere malware e sferrare attacchi informatici. A rendere BadBox 2.0 ancora più pericolosa è la capacità di scaricare nuovo codice da remoto, senza alcuna interazione dell’utente.
Un’evoluzione pericolosa rispetto alla prima BadBox
Già nel 2023, un’operazione congiunta tra Google, partner della sicurezza informatica e autorità tedesche aveva portato allo smantellamento della prima versione della botnet, che contava circa 74.000 dispositivi. Ma in poco tempo è emersa una minaccia molto più estesa, identificata dal team Satori Threat Intelligence di HUMAN.
Nel solo mese di marzo, BadBox 2.0 risultava già presente in oltre un milione di dispositivi distribuiti in 222 Paesi e territori, compresi non solo TV box, ma anche smartphone, tablet, proiettori e perfino PC.
Il malware si basa su un’organizzazione strutturata in più livelli:
L’Infrastructure Group gestisce i server di comando e controllo (C2);
Il Backdoor Malware Group sviluppa e inserisce il codice malevolo nei dispositivi;
I gruppi Evil Twin e Ad Games creano app trappola e giochi fraudolenti per generare traffico pubblicitario fantasma.
Un’ingiunzione per bloccare il traffico dannoso
Il tribunale federale di New York ha già concesso a Google un’ingiunzione preliminare per contrastare la diffusione di BadBox 2.0. L’azione si basa sul Computer Fraud and Abuse Act e sul RICO Act, consentendo il blocco di domini, indirizzi IP e persino il sequestro di nomi a dominio utilizzati per attività malevole.
I responsabili – indicati come “Does 1–25” – restano anonimi, ma secondo la documentazione sarebbero attivi in Cina, rendendo difficile l’applicazione concreta di eventuali sanzioni.
Nel frattempo, l’FBI invita a evitare l’uso di dispositivi non certificati e a non installare applicazioni da marketplace alternativi. Il rischio è concreto: molti box risultano infetti già in fabbrica e diventano vulnerabili non appena connessi a Internet.
