Office fédéral de la sécurité des technologies de l'information, le BSI informe que pour environ 30 000 appareils Android infectés par le malware BadBox, la communication avec les serveurs de contrôle et de commande des cybercriminels a été bloquée.

Disposant de versions obsolètes d'Android, les objets connectés en question ont été vendus en Allemagne avec le malware préinstallé dans le firmware. Le BSI souligne des produits identiques, mais commercialisés avec des noms différents.

Afin de lutter contre ce nuisible, une technique de sinkhole a été mise en place. Via DNS, elle consiste à rediriger les noms de domaine malveillants vers des serveurs qui sont sous le contrôle des autorités et non plus sous celui des attaquants.

Des produits sans marque à ne plus utiliser

En fonction de leur adresse IP, les propriétaires d'appareils concernés par l'opération du BSI seront avertis par le biais de leur fournisseur d'accès à Internet. Les FAI ayant plus de 100 000 clients ont l'obligation d'effectuer la redirection du trafic de BadBox.

« Il n'y a pas de danger immédiat pour ces appareils tant que le BSI maintient la mesure de sinkholing. » Le BSI ne précise pas la nature des produits Android spécifiquement touchés, mais exhorte les consommateurs alertés à les déconnecter d'Internet ou à cesser de les utiliser.

Dans une réaction obtenue par BleepingComputer, Google déclare que les appareils infectés ne sont pas des appareils Android certifiés Play Protect. A priori, il s'agit essentiellement de boîtiers Android sans marque particulière.

malware-android-box-tv

Une première alerte avait déjà eu lieu fin 2023

Ce n'est pas la première fois que le malware BadBox fait parler de lui. Installé pendant ou immédiatement après la fabrication de l'appareil, il avait été présenté en octobre 2023 par Human (Satori Threat Intelligence and Research) comme un système complexe de menaces touchant la chaîne d'approvisionnement en Chine.

Le BSI indique que les appareils infectés se connectent immédiatement à un serveur de commande et de contrôle. L'attaquant peut accéder au réseau local, intercepter des codes d'authentification à deux facteurs et installer d'autres malwares sur l'appareil.