Cuando compras un nuevo dispositivo Android, lo último en lo que piensas es en que venga con un virus preinstalado. Pero eso es justo lo que ha estado pasando con BadBox, una botnet diseñada para infectar dispositivos de bajo costo, como teléfonos, tabletas, decodificadores de TV y televisores inteligentes.
Este malware no solo viene escondido de fábrica en algunos equipos, sino que también se infiltra a través de aplicaciones maliciosas y descargas de firmware infectadas. Una vez dentro, convierte el dispositivo en parte de una red de bots, permitiendo que los ciberdelincuentes lo usen para fraudes publicitarios, robo de datos y otras actividades sin que el usuario lo note.
La buena noticia es que Google acaba de dar un golpe importante a esta amenaza: eliminó 24 aplicaciones infectadas de la Play Store y bloqueó las comunicaciones de medio millón de dispositivos comprometidos. Pero, aunque este es un gran avance, el problema sigue latente.
Algunos dispositivos ya vienen con BadBox preinstalado de fábrica, mientras que otros se infectan al descargar apps maliciosas o actualizar su firmware desde fuentes no seguras. Una vez dentro, este malware hace de las suyas: muestra anuncios falsos, redirige a sitios dudosos y usa la IP de los afectados para crear cuentas falsas y robar credenciales.
Las autoridades alemanas lograron frenar su avance en diciembre pasado, eliminando el malware de los dispositivos afectados en el país. Pero la alegría duró poco. Apenas unos días después, se detectó 192,000 dispositivos aún infectados, lo que demuestra que BadBox es más resistente de lo que parece.
Desde entonces, la botnet no ha hecho más que crecer, alcanzando más de un millón de dispositivos en 222 países. Los más afectados hasta ahora son Brasil (37.6%), Estados Unidos (18.2%), México (6.3%) y Argentina (5.3%), lo que deja claro que esta amenaza sigue activa.
Un nuevo esfuerzo conjunto de expertos en ciberseguridad y Google ha logrado interrumpir el crecimiento de BadBox, esta botnet que ya había alcanzado más de un millón de dispositivos infectados en todo el mundo. Debido a su rápida expansión y evolución, ahora es conocida como "BadBox 2.0", lo que indica que se ha vuelto aún más sofisticada y peligrosa.
La mayoría de los dispositivos afectados son tabletas de bajo costo, decodificadores de TV, proyectores digitales y otros dispositivos Android no certificados, fabricados en China y distribuidos globalmente. Se ha detectado tráfico asociado a BadBox en 222 países y territorios, lo que muestra la magnitud del problema.
Investigaciones recientes han revelado que varios grupos de ciberdelincuentes están detrás de BadBox 2.0, cada uno con un papel específico:
Los dispositivos infectados se conectan regularmente a servidores de comando y control (C2), desde donde los atacantes envían instrucciones y actualizaciones para el malware. Para frenar esta actividad, los investigadores lograron tomar el control de varios dominios utilizados por BadBox 2.0, evitando que más de 500,000 dispositivos infectados pudieran seguir recibiendo órdenes.
Además, se detectaron y eliminaron 24 aplicaciones maliciosas en Google Play, que estaban instalando el malware en nuevos dispositivos. Algunas de estas apps, como "Earn Extra Income" y "Pregnancy Ovulation Calculator", lograron acumular más de 50,000 descargas cada una, demostrando lo fácil que es caer en la trampa.
Aunque este golpe ha debilitado a BadBox, la amenaza sigue latente. Su capacidad de adaptación y el alcance global de la botnet la convierten en un problema que requiere vigilancia constante y medidas de seguridad por parte de los usuarios.
Aplicación BadBox en Google Play
Conoce más sobre: Malware Vo1d infecta 1.6 millones de Smart TVs Android en el Mundo
Google ha tomado medidas para frenar la propagación de BadBox 2.0, eliminando las aplicaciones maliciosas de la Play Store y añadiendo una nueva regla en Play Protect para advertir a los usuarios y bloquear la instalación de estas apps en dispositivos Android certificados.
Además, el gigante tecnológico también ha cancelado las cuentas de los editores involucrados en fraudes publicitarios relacionados con BadBox, impidiéndoles seguir lucrando con Google Ads.
Pero aquí viene el problema: Google no puede eliminar el malware de los dispositivos no certificados por Play Protect, que se venden en todo el mundo sin controles de seguridad. Es decir, aunque se ha logrado frenar la botnet, esta sigue activa en muchos dispositivos.
El mayor riesgo lo corren quienes compran TV boxes, proyectores y otros dispositivos Android de marcas poco conocidas. Muchos de estos equipos, fabricados sin certificación oficial, pueden venir con BadBox preinstalado de fábrica, convirtiéndolos en parte de la botnet desde el primer momento.
Si tienes alguno de estos dispositivos, es posible que esté infectado con el malware BadBox:
| 📺 TV Boxes y Decodificadores | 📱 Tabletas y Dispositivos Android | 🎥 Proyectores y Otros Dispositivos |
|---|---|---|
| TV98 | X96Q_Máximo_P | Q96L2 |
| X96mini | S168 | X96_S400 |
| TX3mini | HY-001 | MX10PRO |
| LongTV_GN7501E | Xtv77 | Caja de red B68 |
| X96Q_PRO | Proyector_T6P | X96MATE_PLUS |
| M8SPROW | TV008 | X96Mini_5G |
| Orbsmart_TR43 | Z6 | Q96MAX |
| KM9PRO | A15 | Elegante |
| MXQ9PRO | MBOX | Fujicom-SmartTV |
| X96Max_Plus2 | TV007 | R11 |
| H6 | X88 | Palo Q9 |
| X98K | TXCZ | SP7731E |
Si tienes uno de estos modelos, lo más recomendable es sustituirlo por un dispositivo de una marca reconocida. Si no puedes cambiarlo de inmediato, desconéctalo de Internet para evitar riesgos.
Google ha insistido en la importancia de usar dispositivos certificados con Play Protect, ya que estos pasan por pruebas de seguridad rigurosas antes de salir al mercado. También recomienda verificar que Google Play Protect esté activado en la configuración del dispositivo, ya que esta herramienta ayuda a detectar y bloquear malware en dispositivos compatibles.
En definitiva, la lucha contra BadBox sigue en marcha, y aunque se ha logrado un gran avance, la mejor defensa sigue siendo la precaución a la hora de comprar dispositivos y descargar aplicaciones.