BADBOX 2.0 уже у вас дома: заражение происходит до покупки, спастись почти невозможно

ФБР бьёт тревогу : уже более миллиона домашних устройств по всему миру заражены вредоносным ПО BADBOX 2.0, которое превращает обычную электронику в инструмент киберпреступников. Под угрозой — недорогие китайские Android-устройства, включая телевизоры, медиаплееры, проекторы, планшеты и прочие IoT-гаджеты.

Суть атаки в том, что злоумышленники используют заражённые устройства как резидентные прокси — это позволяет им маскировать свою активность, перенаправляя вредоносный трафик через IP-адреса ничего не подозревающих пользователей. Кроме того, заражённая техника участвует в кликфроде , автоматической прокрутке рекламы и в атаках на аккаунты с помощью ранее украденных паролей.

Особую опасность представляет способ заражения. BADBOX 2.0 может быть предустановлен на устройство ещё до покупки — прямо на заводе, либо попасть на него при установке обновлений или приложений из сторонних маркетов. Как подчёркивают специалисты, основное заражение происходит уже на этапе первой настройки, когда устройство скачивает обязательные приложения, содержащие в себе бэкдор.

После активации вредонос подключается к управляющим серверам злоумышленников, получая команды на дальнейшее использование. Одной из главных функций становится участие в прокси-сетях, через которые преступники ведут анонимную деятельность в интернете. Это также позволяет скрывать массовые атаки на сайты, совершать мошенничество с рекламой и использовать взломанные IP в подборе паролей.

Первые случаи заражения BADBOX были зафиксированы ещё в 2023 году на дешёвых Android TV-боксах — T95 и подобных. Тогда вредонос был остановлен усилиями немецких специалистов, которые блокировали связь заражённых устройств с управляющими серверами через технологию sinkhole. Однако спустя всего неделю новые версии BADBOX были замечены уже на 192 тысячах устройств, включая технику более известных брендов, таких как Hisense и даже Yandex TV.

К началу 2025 года масштабы заражения превысили миллион устройств, как заявили аналитики из HUMAN Satori Threat Intelligence. BADBOX 2.0 стал глобальной проблемой — заражения зафиксированы в 222 странах и территориях. Лидируют по числу заражённых Бразилия (37,6%), США (18,2%), Мексика (6,3%) и Аргентина (5,3%).

Все инфицированные гаджеты используют открытую версию Android Open Source Project (AOSP), а не сертифицированную Android TV OS. Это значит, что защита Google Play Protect на них отсутствует. Большинство устройств поступают с китайских фабрик и продаются по всему миру под десятками малознакомых брендов.

В числе заражённых — десятки моделей, включая X96Q, X96mini, TX3mini, MX10PRO, Smart TV от Fujicom и другие устройства, перечисленные в отчёте HUMAN . Многие из них продвигаются как «разлоченные» или «с поддержкой бесплатного контента», что повышает интерес пользователей, но фактически делает их мишенью.

Обнаружить заражение можно по характерным признакам: подозрительные приложения, отключённая защита Google, необычный сетевой трафик, неизвестный бренд устройства. Порой даже имя модели, как «TVBOX» или «Smart», может указывать на потенциальную угрозу.

В марте 2025 года Google, HUMAN, Trend Micro и The Shadowserver Foundation провели совместную операцию , временно прервав связь более 500 тысяч устройств с управляющими серверами. Но несмотря на успех, новые устройства продолжают подключаться к сети BADBOX 2.0, и угроза остаётся актуальной.

ФБР призывает всех владельцев IoT-устройств срочно проверить свою технику, избегать загрузки приложений из сторонних источников и внимательно следить за трафиком в домашних сетях. При малейшем подозрении на заражение рекомендуется немедленно изолировать устройство от интернета, что может прервать его связь с ботнетом и нарушить управление со стороны злоумышленников.