Pour tenter de démanteler le botnet BadBox 2.0, Google annonce avoir déposé une plainte à New York. Cette action en justice vise les opérateurs anonymes du botnet qui sont suspectés d'être basés en Chine. Le botnet aurait déjà infecté plus de 10 millions d'appareils.
Un réseau fantôme dans le salon
Le mode opératoire de BadBox 2.0 est particulièrement insidieux. Le réseau cible des appareils Android bon marché et non certifiés, tels que des boîtiers de streaming TV, des tablettes ou encore des projecteurs. Human Security avait publié un rapport sur la menace et des appareils concernés.
Ces appareils fonctionnent avec la version open source d'Android (AOSP) qui est dépourvue des protections de sécurité natives de Google. Une fois infecté, l'appareil devient un zombie contrôlé à distance par les serveurs des cybercriminels.
L'infection se produit de deux manières. Soit le malware est préinstallé sur l'appareil avant même sa vente en ligne (compromission de la chaîne d'approvisionnement), soit l'utilisateur est piégé pour l'installer via des applications issues de boutiques non officielles.
La fraude publicitaire, une machine à cash bien rodée
L'objectif principal du botnet est la fraude publicitaire à grande échelle, menée contre les plateformes de Google. Les cybercriminels utilisent les appareils infectés pour générer des revenus illicites de plusieurs manières.
Ils peuvent installer des applications malveillantes qui affichent des publicités cachées en arrière-plan. Une autre technique consiste à lancer des navigateurs invisibles pour simuler des parties sur des sites de jeux truqués, déclenchant des vues publicitaires à un rythme effréné.
Les cybercriminels peuvent également réaliser des clics frauduleux sur des annonces de recherche pour gonfler artificiellement les revenus publicitaires.
Riposte judiciaire et technique de Google
Face à cette menace, la riposte de Google s'organise sur plusieurs fronts. La plainte déposée cherche à obtenir une injonction permanente pour démanteler l'infrastructure du réseau, notamment plus de 100 noms de domaine identifiés. En parallèle, la protection Google Play Protect a été mise à jour pour bloquer automatiquement les applications associées à BadBox 2.0.
Le FBI avait émis une alerte le mois dernier et une collaboration est en cours. La situation est prise très au sérieux, parce que le botnet représente une menace latente bien plus grave. « Il pourrait être utilisé pour commettre des cybercrimes plus dangereux, tels que des attaques par ransomware ou des attaques par déni de service distribué (DDoS) », souligne la plainte.
Les chercheurs en cybersécurité de Google avaient travaillé avec ceux de Human Security et de Trend Micro pour mettre au jour BadBox 2.0… sachant que la campagne BadBox première du nom avait été démantelée en 2024.
