La Oficina Federal de Seguridad de Información de Alemania (BSI) ha advertido la peresencia del 'malware' BadBox integrado de forma predeterminada en más de 30.000 dispositivos IoT con sistema operativo Android, como marcos de digitales o 'smartphones', comercializados en este país.
BadBox, también conocido como BadBox Loader, es un 'malware' de tipo troyano 'backdoor' que viene preinstalado en los dispositivos Android durante el proceso de fabricación y permite realizar actividades maliciosas a los atacantes, además de ofrecerles una puerta trasera con la que incluir el terminal como parte de una botnet.
Este 'software' malicioso permite a los atacantes tener el control remoto de los dispositivos infectados, así como ejecutar comandos aleatorios en él. Asimismo, extrae y roba información sensible del sistema, como contraseñas de un solo uso o credenciales de inicio de sesión, tal y como apunta el Instituto Nacional de Ciberseguridad (INCIBE).
BadBox también puede crear cuentas de correo electrónico y servicios de mensajería sin consentimiento con el objetivo de utilizarse después para difundir noticias falsas, además de actuar como proxy residencial. Esto permite que otras personas utilicen el ancho de banda de internet y el 'hardware' del dispositivo infectado para enrutar su propio tráfico, lo que a menudo implica operaciones delictivas en las que se incluye la dirección IP del usuario.
Esta institución ha notificado recientemente que ha paralizado una campaña de este 'malware', que estaba preinstalado en más de 30.000 dispositivos IoT con sistema operativo Android distribuidos en este país, tal y como ha indicado la Oficina Federal de Información de Alemania (BSI).
Además de 'smartphones', BadBox estaba incluido en marcos de fotos digitales, reproductores multimedia conectados a internet y tabletas, entre otros. Asimismo, la oficina ha adelantado en un comunicado que lo que todos estos terminales tienen en común es que vienen con versiones obsoletas del sistema operativo.
Para poner fin a este ataque, esta agencia de ciberseguridad bloqueó la comunicación entre los dispositivos infectados y su infraestructura de comando y control (conocida como C2). En concreto, pausó las solicitudes al servidor del Sistema de nombres de dominio (DNS) para que el 'malware' se comunicara con servidores controlados por la Policía en lugar de con los comentados servidores, administrados por el atacante.
Este hundimiento de comunicaciones, evita que el 'malware' envíe datos robados de los sistemas infectados a los atacantes y reciba nuevos comandos para ejecutar en el dispositivo infectado, lo que impide que BadBox se ejecute.
La BSI ha señalado que los proveedores de servicios de internet notificarán a los clientes y propietarios afectados por este 'malware' en función de sus dirección IP. Debido a que BadBox está integrado en el 'firmware' de estos dispositivos, una vez recibida la alerta, se debe desconectar el dispositivo en cuestión y devolverlo al establecimiento donde se haya adquirido o bien desecharlo.
"Lamentablemente, el 'malware' en los productos conectados a internet no es un fenómeno infrecuente. Las versiones de 'firmware' obsoletas suponen un gran riesgo", ha matiado la presidenta de BSI, Claudia Plattner, que ha subrayado que tanto "los fabricantes como los distribuidores tienen la responsabilidad de garantizar que este tipo de dispositivos no lleguen al mercado".
En declaraciones recogidas por BleepingComputer, la directiva también ha subrayado que "los consumidores también pueden hacer algo", debido a que "la ciberseguridad debería ser un criterio importante a la hora de comprar".