Google reveló el jueves que está buscando acciones legales en el Tribunal Federal de Nueva York contra 25 individuos o entidades no identificadas en China por supuestamente operar Badbox 2.0 Botnet e infraestructura de representación residencial.
«El Badbox 2.0 Botnet comprometió más de 10 millones de dispositivos no certificados que ejecutan el software de código abierto de Android (Proyecto de código abierto de Android), que carece de las protecciones de seguridad de Google», dijo el gigante tecnológico.
«Los ciberdelincuentes infectaron estos dispositivos con malware preinstalado y los explotaron para realizar fraude publicitario a gran escala y otros delitos digitales».
La compañía dijo que inmediatamente tomó medidas para actualizar Google Play Protect, un mecanismo de protección de software de malware y no deseado integrado en Android, para frustrar automáticamente las aplicaciones relacionadas con Badbox.
El desarrollo se produce poco más de un mes después de que la Oficina Federal de Investigación de los Estados Unidos (FBI) emitió una advertencia sobre la botnet Badbox 2.0.
Se sabe que Badbox, detectado por primera vez a fines de 2022, se extiende a través de dispositivos de Internet de las cosas (IoT), como dispositivos de transmisión de TV, proyectores digitales, sistemas de información y entretenimiento de vehículos de posventa, marcos digitales y otros productos, la mayoría de los cuales se fabrican en China.
«Los ciberdelincuentes obtienen acceso no autorizado a las redes domésticas al configurar el producto con software malicioso antes de que los usuarios compren o infecten el dispositivo, ya que descarga las aplicaciones requeridas que contienen puertas traseras, generalmente durante el proceso de configuración», advirtió el FBI.
En un análisis publicado a principios de marzo, la seguridad humana describió la amenaza como la botnet más grande de dispositivos de TV conectados infectados (CTV) jamás descubiertos hasta la fecha. La gran mayoría de las infecciones de Badbox se han informado en Brasil, Estados Unidos, México y Argentina.
Mientras que las primeras iteraciones del malware se propagaron a través de compromisos de la cadena de suministro que los dispositivos IoT con malware antes de la compra, las cadenas de ataque se han adaptado desde entonces para permitir que las infecciones se propagen a través de aplicaciones maliciosas descargadas de mercados no oficiales.
Se estima que más de 10 millones de dispositivos fueron acordados a la botnet, lo que permite a sus operadores vender acceso a redes domésticas comprometidas para facilitar varios tipos de actividad ilícita por parte de otros actores de amenazas.
En una queja presentada el 11 de julio de 2025, Google alegó que la empresa Badbox comprende múltiples grupos, cada uno de los cuales es responsable de diferentes aspectos de la infraestructura criminal,
- El Grupo de Infraestructura, que estableció y administra la infraestructura principal de comando y control (C2) de Badbox 2.0
- El grupo de malware de puerta trasera, que desarrolla y preinstala malware de puerta trasera en los bots
- The Evil Twin Group, que está detrás de una campaña de fraude publicitario que crea versiones «malvadas gemelas» de aplicaciones legítimas disponibles en Google Play Store para publicar anuncios y lanzar navegadores web ocultos que cargan anuncios ocultos
- El grupo de juegos de anuncios, que utiliza «juegos» fraudulentos para generar anuncios
La compañía también acusó a los actores de Badbox 2.0 de crear cuentas de editor en la red de anuncios de Google para ofrecer espacio publicitario en sus aplicaciones o sitios web, por los cuales Google las compensan.
«El único propósito de las aplicaciones y sitios web de la empresa es proporcionar espacio publicitario para los bots Badbox 2.0 para generar tráfico», dijo Google. «La empresa implementará bots Badbox 2.0 para ‘ver’ esos anuncios, generando numerosas impresiones del anuncio. Google paga a Badbox 2.0 Enterprise (…) por esas impresiones».
Además, Google señaló que la operación ilegal permite a los actores de amenaza beneficiarse del fraude publicitario en su red de tres maneras diferentes: usar aplicaciones aparentemente legítimas para cargar sigilosamente anuncios ocultos a través del esquema «gemelo malvado», abrir navegadores web ocultos e interactuar con anuncios en sitios web de juegos creados por ellos, y aprovechando los dispositivos infectados para conducir para conducir en friove.
«El Tribunal ha emitido una orden judicial preliminar, IE ha ordenado que la empresa Badbox 2.0 detenga inmediatamente sus operaciones de Botnet y sus esquemas penales asociados a nivel mundial, y ha obligado a los proveedores de servicios de Internet de terceros y los registros de dominios para ayudar activamente a desmantelar la infraestructura de la botnet, por ejemplo, al bloquear el tráfico y los dominios especificados», dijeron Google.
En una declaración compartida con The Hacker News, Stu Solomon, CEO de Human Security, dio la bienvenida a la acción de Google contra los actores de amenaza detrás de Badbox 2.0, afirmando que el esfuerzo ejemplifica el poder de colaborar contra tales amenazas.
«Este derribo marca un importante paso adelante en la batalla en curso para asegurar Internet de las sofisticadas operaciones de fraude que secuestran dispositivos, roban dinero y explotan a los consumidores sin su conocimiento», agregó Solomon.