Analisi di BadBox, il malware incluso nei set top-box Android TV a basso costo.

Un malware preinstallato nei dispositivi, capace di trasformarli in server proxy senza il consenso degli utenti.

Cos’è BadBox?
Come funziona BadBox?
Best practices contro BadBox

Il panorama delle minacce informatiche non è mai stato così attivo e diversificato come nell’ultimo decennio.
Tra ransomware, spyware e trojan di ultima generazione, ogni giorno emergono nuovi strumenti progettati per colpire utenti e organizzazioni.
Una di quelle che ha destato l’attenzione di utenti ed esperti a livello internazionale, risponde al nome di BadBox. Si tratta di un malware che ha come target il sistema operativo Android e che è diventato noto per il gran numero di dispositivi infettati in poco tempo.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è BadBox?

La prima volta in cui si è pronunciato il nome di BadBox malware, è stato nell’ottobre 2023, quando emerse che oltre 30.000 dispositivi Android risultavano compromessi. Ciò che destò scalpore non fu il malware in sé per sé, quanto la sua distribuzione, condotta sfruttando la supply chain dei dispositivi stessi. Piuttosto che diffondersi attraverso attacchi mirate o campagne di phishing, BadBox risultava già preinstallato in numerosi dispositivi Android. Più nello specifico nei set-top box Android TV di fattura cinese estremamente economici.

Una volta connessi a internet, i dispositivi attivano il malware, che inizia a svolgere una serie di operazioni malevole. Infatti, BadBox comprende al suo interno moduli di sniffing, altri per l’installazione di ulteriori payload malevoli e perfino l’integrazione in Peachpit. Quest’ultima è una nota botnet dedita alle frodi pubblicitarie, in grado di trasformare qualsiasi dispositivo infettato in un server proxy. Inoltre, il malware è capace di eludere molte delle protezioni di sicurezza presenti in Android, sfruttando tecniche di offuscamento avanzate e comunicazioni cifrate con i server C2 gestiti dagli attori malevoli.

Le indagini condotte da esperti di sicurezza hanno rivelato che il malware è stato progettato per colpire indiscriminatamente sia utenti privati, che piccole organizzazioni. Nonostante gli interventi del BSI (Bundesamt für Sicherheit in der Informationstechnik), BadBox continua a rappresentare una minaccia significativa, specie a seguito della preoccupante segnalazione giunta il 20 dicembre 2024.
Infatti, nel documento diffuso in tale data si evidenzia che il malware ha raggiunto il preoccupante traguardo di 200.000 dispositivi infettati.

Come funziona BadBox?

Come molti altri malware progettati per Android, BadBox sfrutta a suo vantaggio i Servizi di Accessibilità di Android.
Si tratta di un componente cruciale del sistema operativo, poiché consente agli utenti con disabilità di interagire con i dispositivi in situazioni di emergenza.
Questi servizi permettono funzioni come la lettura del contenuto dello schermo per gli ipovedenti, o la simulazione dei tocchi sullo schermo per testare la reattività del touchscreen.

Una volta che BadBox infetta un dispositivo, il malware si avvia automaticamente e inizia a sfruttare queste funzionalità, effettuando in breve una privilege escalation e, di conseguenza, agire indisturbato in background. Ottenuti i privilegi massimi del dispositivo, questi stabilisce una connessione sicura con i server C2 (Command and Control) attraverso comunicazioni cifrate, garantendo così che i suoi creatori possano controllare i dispositivi infetti senza essere rilevati. A peggiorare la situazione, ci pensa il suo modulo di offuscamento del codice, mediante cui elude i sistemi di rilevamento e di protezione integrati in Android.

Il payload di BadBox sa essere particolarmente pericoloso, in quanto permette al malware di installare all’interno del dispositivo infettato ulteriori minacce. Oltre al già citato modulo sniffer, per il furto delle credenziali utente, si aggiunge la preoccupante integrazione nella botnet Peachnet. Come detto in fase di introduzione, il dispositivo infetto si trasforma in un autentico server proxy e viene sfruttato dagli attori malevoli per condurre attacchi DDoS contro enti e organizzazioni internazionali. Il tutto all’insaputa delle vittime.

BadBox virus infografica

A ciò si aggiunge la preoccupante tecnica di payload dropper. Con essa, BadBox può caricare nuovi moduli dannosi a seconda delle necessità. Questi moduli possono includere strumenti per il furto di credenziali bancarie, o per compromettere ulteriormente il sistema della vittima. Se il malware rileva che un dispositivo ha applicazioni sensibili, come portafogli di criptovalute, o app di trading, il suo obiettivo diventa quello di intercettare le informazioni di login, o di dirottare transazioni finanziarie attraverso un modulo clipper.

L’ulteriore aggravante risiede nella progettazione stessa di BadBox. Il malware è infatti altamente persistente, a tal punto da rendere vano perfino il riavvio del dispositivo. Pur essendo una tecnica molto efficace per l’eliminazione di un malware, nel caso di BadBox è pressoché inutile. Questo perché il malware è capace di rientrare automaticamente, sfruttando congiuntamente i processi di ottimizzazione della batteria e la gestione delle risorse di sistema.
Ciò si traduce anche in un’attività costante, mirata alla raccolta di informazioni sensibili e alle comunicazioni con i cybercriminali alle sue spalle.

Best practice contro BadBox malware

Alla luce di quanto discusso nei paragrafi precedenti, sono di seguito riportati alcuni consigli per proteggersi da applicazioni malevoli e possibili furti di credenziali.

Evitare l’installazione di applicazioni da fonti non ufficiali.
È essenziale limitare i download esclusivamente al Google Play Store, che offre un livello base di sicurezza, evitando app provenienti da fonti sconosciute o non verificate.
Rivedere sempre e comunque i permessi delle singole applicazioni.
Poiché BadBox sfrutta i Servizi di Accessibilità di Android, è necessario controllare attentamente i permessi richiesti dalle applicazioni prima di autorizzarne l’accesso. Se un’app richiede l’accesso ai Servizi di Accessibilità senza una motivazione chiara, questa va considerata sospetta e rimossa immediatamente.
Effettuare aggiornamenti regolari di applicazioni e sistema operativo.
Gli aggiornamenti di sicurezza integrano patch per vulnerabilità note e migliorano la protezione del sistema contro attacchi. Inoltre, le versioni più recenti di Android integrano anche meccanismi di difesa avanzati contro malware come BadBox.
Evitare antivirus gratuiti.
Come al solito le soluzioni gratuite lasciano il tempo che trovano, in quanto incapaci di garantire una protezione costante ed efficace. A maggior ragione se si pensa che, a partire da Android 11, ogni produttore di smartphone e tablet integra al suo interno un centro di sicurezza ad hoc con un antivirus che viene costantemente aggiornato e monitorato. La soluzione ideale è comunque quella di dotarsi di un antivirus di tipo premium con abbonamento annuale e che integri al suo interno moduli anti-phishing, monitoraggio rete e controllo approfondito delle applicazioni.
Non effettuare il rooting del dispositivo.
Il rooting rimuove molte delle protezioni integrate nel sistema operativo, aumentando notevolmente la vulnerabilità ai malware che sfruttano le elevati capacità di accesso al sistema per agire indisturbato. Ecco perché bisognerebbe evitare di effettuarlo.
Evitare l’acquisto di dispositivi economici da store non certificati.
Poiché il principale veicolo di diffusione di BadBox è la supply chain stessa di Android, si deve evitare l’acquisto di dispositivi particolarmente economici. Più nello specifico quelli venduti da store cinesi di dubbia affidabilità, in quanto i loro prodotti non sono sottoposti a rigidi controlli di qualità e presentano al loro interno bloatware, spyware e malware preinstallati.

In conclusione

In base a quanto discusso, BadBox è solo l’ennesima conferma di quanto il panorama delle minacce informatiche si sia evoluto.
Gli attori malevoli, oggi più che mai, si adattano costantemente all’evoluzione del mercato, sfruttando al massimo le opportunità offerte dall’era digitale. Sebbene oggi siano messe a nostra disposizione le più moderne e sofisticate soluzione di difesa, la migliore in assoluto resta sempre la nostra consapevolezza.

In un mondo sempre più connesso, non possiamo permetterci di abbassare la guardia. È fondamentale vigilare sui nostri dispositivi e non lasciarsi ingannare dalla facilità con servizi e prodotti ci vengono offerti. La sicurezza parte dal nostro atteggiamento quotidiano e la nostra attenzione può fare la differenza tra una protezione efficace e una vulnerabilità che potrebbe costarci caro.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.