Una sofisticada red de ciberdelincuencia ha salido a la luz, revelando un ecosistema interconectado de actores maliciosos detrás de un esquema de fraude publicitario y una red de proxy residencial conocida como BADBOX 2.0. Esta compleja operación involucra al menos a cuatro grupos principales: SalesTracker Group, MoYu Group, Lemon Group y LongTV, quienes han sido señalados como responsables de una de las mayores botnets de dispositivos de TV conectados (TVC) jamás descubierta.
BADBOX 2.0 ha logrado infectar más de un millón de dispositivos, convirtiéndolos en herramientas para fraudes masivos, robo de datos y distribución de malware. Su alcance y sofisticación han encendido las alarmas en la industria de la ciberseguridad.
¿Que es Badbox 2.0 y cómo funciona esta red de bots?
BADBOX 2.0, al igual que su versión anterior, se aprovecha de dispositivos electrónicos de bajo costo que llegan al mercado con puertas traseras preinstaladas. Esto permite que los ciberdelincuentes carguen módulos de fraude de forma remota, lo que convierte a estos dispositivos en herramientas para actividades maliciosas.
Estos equipos infectados se conectan a servidores de comando y control (C2), que están en manos de distintos grupos criminales que, aunque operan de forma independiente, colaboran entre sí para mantener activa esta red de bots.
¿Cómo se propaga BADBOX 2.0?
Los atacantes emplean varias tácticas para expandir este malware. Algunas de las más comunes incluyen:
- Violaciones en la cadena de suministro de hardware: Los dispositivos llegan a los consumidores ya comprometidos desde su fabricación.
- Aplicaciones maliciosas en tiendas de terceros: Algunas apps que parecen inofensivas esconden un “cargador” oculto que instala la puerta trasera en el dispositivo.
Una vez infectado, el equipo se convierte en parte de una botnet que se utiliza para diversas actividades ilegales:
- Fraude publicitario: Se generan anuncios invisibles y se abren WebViews ocultos para simular visualizaciones y clics falsos.
- Red de proxies ilegales: Los dispositivos comprometidos se usan para desviar tráfico web y ocultar actividades delictivas.
- Robo de cuentas y distribución de malware: Los atacantes aprovechan la red para acceder a cuentas personales, crear perfiles falsos y propagar software malicioso.
- Ataques DDoS: Los equipos infectados se convierten en parte de ataques masivos que saturan servidores y sitios web.
¿Cuántos dispositivos están afectados?
Se estima que un millón de dispositivos han sido víctimas de BADBOX 2.0. La mayoría son tabletas Android económicas, decodificadores de TV, proyectores digitales y sistemas de infoentretenimiento para automóviles. Todos estos dispositivos tienen algo en común: fueron fabricados en China y distribuidos a nivel mundial.
Los países más afectados hasta el momento son:
- Brasil (37,6%)
- Estados Unidos (18,2%)
- México (6,3%)
- Argentina (5,3%)
¿Se ha logrado detener BADBOX 2.0?
Aunque la operación ha sido parcialmente interrumpida en dos ocasiones durante los últimos tres meses, el problema persiste. Recientemente, se logró desactivar una serie de dominios utilizados por BADBOX 2.0 para comunicarse con los dispositivos infectados. Además, Google eliminó 24 aplicaciones de la Play Store que estaban relacionadas con este malware.
Cabe destacar que, según Google, los dispositivos afectados no son equipos Android TV ni aquellos que cuentan con certificación Play Protect. Esto significa que no se sometieron a las pruebas de seguridad y compatibilidad que garantizan la protección del usuario.
Si bien algunos esfuerzos han logrado debilitar esta red de bots, BADBOX 2.0 sigue siendo una amenaza activa, por lo que mantener tus dispositivos actualizados y proteger tu red es más importante que nunca.
Conoce más sobre: ¿Qué es una Botnet?: Red Zombie
BB2DOOR: La puerta trasera que convierte dispositivos en armas digitales
El corazón de la operación BADBOX 2.0 está en una potente puerta trasera basada en un malware para Android llamado Triada, también conocido como BB2DOOR. Esta amenaza se propaga de tres formas principales:
- Preinstalado en el dispositivo desde su fabricación.
- Descargado automáticamente de un servidor remoto cuando el equipo se enciende por primera vez.
- A través de apps infectadas: Más de 200 versiones troyanizadas de aplicaciones populares en tiendas de terceros han sido identificadas como parte del ataque.
El grupo detrás de esta peligrosa operación se llama MoYu Group, que utiliza los dispositivos infectados para ofrecer servicios ilegales de proxy residencial. Pero no están solos; hay otros tres actores que también juegan un papel clave en el esquema:
- SalesTracker Group: Está vinculado a la primera versión de BADBOX y gestiona un módulo que monitorea los dispositivos infectados.
- Lemon Group: Relacionado con los servicios de proxy basados en BADBOX y con una red de sitios web de juegos HTML5 que ejecutan campañas de fraude publicitario.
- LongTV: Una empresa de Malasia cuyo catálogo de aplicaciones (más de 20 en total) se ha utilizado en una campaña de fraude basada en la técnica del "gemelo malvado".
Según los expertos en seguridad, estos grupos están conectados entre sí mediante una infraestructura compartida, que incluye servidores C2 comunes, además de lazos comerciales tanto antiguos como actuales.
La última versión de BADBOX 2.0 demuestra que esta red de cibercriminales no se ha quedado quieta. Han mejorado sus tácticas, incluyendo una técnica que modifica bibliotecas legítimas de Android para garantizar que el malware se mantenga activo incluso después de reiniciar el dispositivo.
Además, se han encontrado indicios que relacionan BB2DOOR con otro malware conocido como Vo1d, famoso por atacar específicamente TV boxes con Android de distintas marcas.
Lo más preocupante es que BADBOX 2.0 funciona como una especie de “puerta abierta”: una vez que el dispositivo está infectado, puede recibir órdenes para ejecutar cualquier tipo de ataque que los delincuentes decidan implementar. Esta flexibilidad convierte a BADBOX 2.0 en una amenaza aún más peligrosa y difícil de controlar.
