Проверьте свой Android TV прямо сейчас: BadBox 2.0 может майнить деньги на вашем экране

Google подала судебный иск против неизвестных операторов вредоносного ботнета BadBox 2.0, обвинив их в масштабной схеме мошенничества с рекламой, направленной против платформ самой компании. Согласно заявлению, злоумышленники распространяли вредоносное ПО через устройства на базе Android Open Source Project — в том числе умные телевизоры, медиаприставки и другую подключённую электронику, в которой отсутствует защита Google Play Protect.

Заражение происходило двумя основными способами. В первом случае злоумышленники массово скупали недорогие устройства на базе AOSP, модифицировали прошивку, добавляя в неё вредоносный код BadBox 2.0, а затем перепродавали технику . Во втором — убеждали пользователей установить на свои устройства заражённые приложения. После установки вредонос становится бэкдором, получающим команды от управляющих серверов злоумышленников.

Скомпрометированные устройства превращались в часть ботнета BadBox 2.0, который использовался двумя способами: как «резидентные прокси» для других преступников без ведома владельцев или как инструмент мошенничества в рекламных сетях. В центре иска Google находится именно второй сценарий.

По данным компании, ботнет применяет три ключевые тактики для рекламного мошенничества. Первая — скрытая отрисовка рекламы: на устройства без уведомления устанавливаются дубликаты популярных приложений, которые загружают невидимую рекламу на управляемых злоумышленниками сайтах, зарабатывая деньги на показах. Вторая — использование браузеров в фоновом режиме, где автоматически проигрываются «игры» со встроенной рекламой, что генерирует массовые просмотры и доход через рекламные аккаунты преступников. Третий способ — генерация поддельных поисковых запросов на сайтах с включённой AdSense for Search, где рекламные блоки в результатах становятся ещё одним источником дохода.

Изначальный ботнет BadBox был частично выведен из строя в декабре 2024 года благодаря вмешательству властей Германии. Тогда удалось блокировать соединения между заражёнными устройствами и C2-инфраструктурой через механизм DNS-sinkhole. Однако схема возродилась в новой форме под названием BadBox 2.0, и к апрелю 2025 года число заражённых устройств, по оценкам Google, превысило 10 миллионов. В одном только штате Нью-Йорк зарегистрировано свыше 170 тысяч заражённых единиц техники.

Google заявляет, что уже ликвидировала тысячи связанных с ботнетом аккаунтов рекламодателей. Однако рост ботнета продолжается, и компания предупреждает об угрозе его масштабирования. По словам Google, если не принять меры, группировка продолжит развиваться, используя прибыль от рекламы для закупки новых устройств, создания нового вредоносного кода и масштабирования своих операций. Расследование так же обходится компании в серьёзные суммы.

Поскольку личности злоумышленников остаются неизвестными, а их местоположение предположительно связано с Китаем, Google подала иск в рамках Закона о компьютерном мошенничестве и злоупотреблениях (CFAA) и Закона о рэкете и коррумпированных организациях (RICO). В иске компания требует возмещения ущерба и постоянного судебного запрета, который должен остановить деятельность ботнета и не допустить дальнейшего распространения вредоносной сети.

В приложении к иску содержится перечень из более чем 100 интернет-доменов, задействованных в инфраструктуре преступной операции BadBox 2.0.