30 000 appareils infectés : comment l’Allemagne a neutralisé le malware BadBox !
Les autorités allemandes sont parvenues à perturber l'activité des cybercriminels derrière le malware BadBox ! Il s'agit d'un logiciel malveillant préinstallé sur des appareils sous Android. Faisons le point sur cette menace.
Sommaire
Le malware BadBox : à quoi sert-il ?
Le logiciel malveillant BadBox est conçu pour Android. Il est directement intégré dans le firmware et il a été utilisé pour infecter différents appareils tels que des cadres photos numériques, des lecteurs multimédias, et même certains smartphones et certaines tablettes. Il n'est pas à exclure qu'il soit également présent sur d'autres types d'appareils (Smart TV, box Android, caméras de surveillance, etc.).
Lorsqu'un appareil infecté par BadBox se connecte à Internet pour la première fois, le malware tente directement d'établir une connexion avec le serveur C2 (commande et contrôle) des attaquants. À partir de là, les pirates informatiques peuvent interagir avec cet appareil.
BadBox a pour objectif de voler des données sur l'appareil infecté, tout en permettant aux attaquants de déployer d'autres malwares ou d'accéder à distance au réseau auquel est connecté l'appareil. D'après l'Office fédéral de la sécurité des technologies de l'information (BSI) allemand, ce malware est capable de voler des codes d'authentification MFA et de cliquer sur de la publicité en arrière-plan pour générer des revenus.
Par ailleurs, BadBox permettrait d'utiliser l'appareil infecté en tant que proxy, ce qui permet aux attaquants d'utiliser la connexion Internet de la victime pour effectuer des actions illégales plus discrètement.
L'action du BSI en Allemagne
L'agence allemande BSI est parvenue à bloquer la communication entre les appareils infectés par BadBox et l'infrastructure de serveurs C2 des pirates. Pour cela, ils ont utilisé le mécanisme appelé "DNS sinkhole" afin de détourner les requêtes DNS.
Ainsi, les appareils infectés communiquent avec les serveurs contrôlés par la police, plutôt que ceux contrôlés par les attaquants. De ce fait, les attaquants ne reçoivent plus les données volées par le malware.
Quels sont les appareils infectés ?
Le rapport publié par la BSI évoque 30 000 appareils infectés par BadBox, uniquement en Allemagne. Au niveau mondial, ce nombre doit être beaucoup plus important. De plus, dans son rapport, la BSI précise : "Des rapports internationaux suggèrent que les smartphones et les tablettes peuvent également être des appareils infectés."
Ce qui est certain, c'est que les propriétaires d'appareils concernés par cette opération de "sinkholing" au niveau du DNS, seront avertis par leur fournisseur d'accès à Internet en fonction de leur adresse IP. Ensuite, il restera à identifier le matériel problématique à son domicile. Une fois que ce sera fait, la recommandation des autorités allemandes est claire : "Le BSI estime donc que le nombre de cas non signalés est très élevé et demande que les appareils correspondants soient déconnectés d'Internet ou ne soient plus utilisés."
Comment éviter d'acheter un appareil infecté ?
Les appareils proposés par des marques peu connues ou à un tarif très attractif, ont plus de chance d'être infectés par un malware. Il n'y a peut-être pas les mêmes contrôles, notamment au niveau de la sécurité.
D'ailleurs, à ce sujet, Google a apporté un complément d'informations au site BleepingComputer : "Ces appareils d'une autre marque dont on a découvert l'infection n'étaient pas des appareils Android certifiés Play Protect. Si un appareil n'est pas certifié Play Protect, Google ne dispose pas des résultats des tests de sécurité et de compatibilité.
Les appareils Android certifiés Play Protect sont soumis à des tests approfondis afin de garantir leur qualité et la sécurité des utilisateurs. Pour vous aider à vérifier si un appareil est construit avec Android TV OS et certifié Play Protect, notre site web Android TV fournit la liste la plus récente des partenaires. Vous pouvez également procéder comme suit pour vérifier si votre appareil est certifié Play Protect."
Ce n'est pas la première fois qu'un malware est préchargé sur des appareils Android. On se souvient notamment d'une affaire impliquant plusieurs boitiers Android TV infectés par un logiciel malveillant.
