في ضربة جديدة لشبكة برمجيات BadBox الضارة، قامت فرق الأمن السيبراني، بالتعاون مع جوجل وشركاء آخرين، بتعطيل جزء كبير من الشبكة عبر إزالة 24 تطبيقًا ضارًا من متجر Google Play وقطع الاتصالات عن أكثر من نصف مليون جهاز مصاب.
ما هو BadBox؟
BadBox هو شبكة برمجيات خبيثة تستهدف الأجهزة الذكية منخفضة التكلفة التي تعمل بنظام أندرويد، مثل أجهزة التلفاز الذكية، أجهزة البث، الأجهزة اللوحية، والهواتف الذكية. تنتشر البرمجية الخبيثة عبر تطبيقات ضارة أو تأتي مثبتة مسبقًا على بعض الأجهزة عند تصنيعها.
بمجرد إصابة الجهاز، يتم استخدامه كمصدر لمهاجمة المستخدمين بطرق متعددة، تشمل:
- تحويل الأجهزة إلى بروكسيات شبكية تستخدمها جهات غير قانونية.
- توليد نقرات إعلانية زائفة لتحقيق أرباح غير شرعية.
- إعادة توجيه المستخدمين إلى مواقع غير موثوقة.
- استغلال عناوين IP لإنشاء حسابات وهمية وشن هجمات لاختراق الحسابات عبر هجمات “تخمين بيانات الاعتماد”.
انتشار واسع رغم جهود المكافحة
في ديسمبر الماضي، نجحت السلطات الألمانية في تعطيل الشبكة جزئيًا، لكن بعد أيام فقط، رصدت شركة BitSight أكثر من 192,000 جهاز مصاب، مما يدل على قدرة الشبكة على مقاومة محاولات القضاء عليها.
منذ ذلك الحين، انتشر BadBox ليصيب أكثر من مليون جهاز في 222 دولة، مع تركيز كبير في:
- البرازيل (37.6%)
- الولايات المتحدة (18.2%)
- المكسيك (6.3%)
- الأرجنتين (5.3%)
تعطيل جديد لشبكة BadBox 2.0
قاد فريق Satori Threat Intelligence من شركة HUMAN عملية جديدة لتعطيل الشبكة، بالتعاون مع Google وTrend Micro ومؤسسة The Shadowserver Foundation. أطلق الباحثون على التهديد الجديد اسم “BadBox 2.0” بسبب انتشاره الكبير وطرق عمله الأكثر تعقيدًا.
وفقًا لتقرير HUMAN، فإن الأجهزة المصابة تشمل أجهزة أندرويد غير معتمدة رسميًا (AOSP)، والتي يتم تصنيعها في الصين وشحنها عالميًا. كما كشفت التحقيقات أن الشبكة تعمل من خلال عدة مجموعات تهديد متخصصة، أبرزها:
- SalesTracker لإدارة البنية التحتية.
- MoYu لتطوير الأبواب الخلفية وبرمجيات الروبوت.
- Lemon لحملات الاحتيال الإعلاني.
- LongTV لتطوير التطبيقات الضارة.
كيف تم إيقاف الهجوم؟
بالتعاون مع مؤسسة The Shadowserver Foundation، نجح الباحثون في عزل عدد غير محدد من نطاقات BadBox 2.0 عبر ما يعرف بـ “Sinkholing”، مما أدى إلى منع أكثر من 500,000 جهاز من الاتصال بمخدمات التحكم والسيطرة (C2) الخاصة بالمهاجمين.
كما قامت جوجل بـ:
- إزالة 24 تطبيقًا ضارًا من متجر Google Play، منها تطبيقات شهيرة مثل “Earn Extra Income” و**”Pregnancy Ovulation Calculator”** التي تجاوزت 50,000 عملية تنزيل لكل منها.
- إضافة قواعد حماية في Play Protect لمنع تثبيت التطبيقات المرتبطة بشبكة BadBox 2.0 على الأجهزة المعتمدة.
- إغلاق حسابات الناشرين المشاركين في الاحتيال الإعلاني ومنعهم من تحقيق الأرباح عبر Google Ads.
هل انتهى تهديد BadBox 2.0؟
رغم هذه الإجراءات، لا تزال المشكلة قائمة بالنسبة للأجهزة غير المعتمدة التي لا يمكن لجوجل تطهيرها، مما يعني أن المستخدمين الذين يشترون أجهزة أندرويد رخيصة أو غير مدعومة من Google Play Services يظلون معرضين للخطر.
الأجهزة المتأثرة ببرمجية BadBox 2.0
فيما يلي قائمة ببعض الأجهزة المصابة:
| موديل الجهاز | موديل الجهاز | موديل الجهاز | موديل الجهاز |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
تصريح جوجل بشأن الهجوم
أكدت جوجل في بيان رسمي على أهمية التعاون مع HUMAN لمواجهة هجوم BadBox 2.0 وحماية المستخدمين من عمليات الاحتيال. وأوضحت أن الأجهزة المصابة هي أجهزة AOSP غير المعتمدة، وليست أجهزة Android TV OS أو أجهزة معتمدة من Play Protect.
وأضافت الشركة:
“إذا كان الجهاز غير معتمد من Play Protect، فإن جوجل لا تمتلك سجلًا لاختبارات الأمان والتوافق الخاصة به. ننصح المستخدمين بالتأكد من أن Google Play Protect، وهو نظام حماية مدمج في أجهزة أندرويد المدعومة، مفعّل لديهم لضمان سلامتهم.”
كيف تحمي نفسك؟
إذا كنت تمتلك أحد الأجهزة المدرجة أعلاه، فمن المحتمل أنك لن تتمكن من الحصول على تحديثات آمنة للبرنامج الثابت (Firmware). لذا، يوصى بما يلي:
- استبدال الجهاز بأحد الأجهزة المعتمدة من شركات موثوقة.
- إذا لم يكن بالإمكان استبداله، قم بفصل الجهاز عن الإنترنت لمنع استغلاله.
- لا تثبت تطبيقات من مصادر غير رسمية، وتأكد من تفعيل Google Play Protect لحماية جهازك من البرمجيات الخبيثة.
الخلاصة
رغم النجاح الكبير في تعطيل شبكة BadBox 2.0، إلا أن تهديد البرمجيات الخبيثة لا يزال قائمًا، خاصة على الأجهزة غير المدعومة رسميًا من جوجب. لذا، يجب توخي الحذر عند شراء أجهزة أندرويد منخفضة التكلفة والتأكد من أنها تحمل شهادة Play Protect لحماية بياناتك وأمانك الرقمي.
