17.07.2025
1 хв
480
Google ініціювала гучний позов проти 25 анонімних осіб, пов’язаних із BADBOX 2.0 — гігантським ботнетом, що вже заразив понад 10 мільйонів Android-пристроїв у всьому світі. За даними компанії, зловмисники використовують заражені smart TV, стримінгові приставки та інші AOSP-пристрої для фроду в Google Ads, проксі-сервісів та масштабних кібератак.
BADBOX 2.0 працює в основному через пристрої на Android Open Source Project, які не мають захисту Google Play Protect. Частину таких гаджетів заражають ще на рівні прошивки, інші інфікують шляхом обману користувачів — змушують їх встановлювати шкідливі додатки. Після цього пристрій стає частиною ботнету, отримує команди через C2-сервери та виконує злочинні завдання.
Google у позові описує три основні види шахрайства:
Приховане рендеринг реклами через підроблені додатки;
Невидимі браузери, які запускають ігрові сайти з великою кількістю Google Ads;
Клікфрод — автоматизовані пошукові запити через AdSense for Search.
Навіть після знищення першої версії ботнету в 2024 році за допомогою DNS-sinkhole в Німеччині, операція відновилась як BADBOX 2.0, і станом на 2025 рік лише в Нью-Йорку нараховано понад 170 000 активних інфікованих пристроїв.
Google зазначає, що деякі з заражених пристроїв продаються на вторинному ринку — це дешеві смарт-девайси, вироблені в Китаї. Вони одразу містять BadBox у прошивці, що унеможливлює просте видалення навіть після виявлення.
Позов базується на Computer Fraud and Abuse Act і RICO Act, адже Google стверджує, що злочинна група — це скоординована мережа осіб зі своїми ролями: хтось розробляє інфраструктуру, хтось продає проксі, інші запускають фонові браузери, редиректи, керують трафіком, доменами, рекламними кампаніями.
BADBOX вперше зафіксували ще у 2023–2024 роках. Оригінальний ботнет використовував ті самі техніки прихованої реклами та DDoS через заражені пристрої. Низка компаній — Google, Trend Micro, Shadowserver, Human Security — брали участь у глобальній операції з нейтралізації цієї мережі. Частину C2-інфраструктури було знищено, але ботнет знову ожив. За даними Shadowserver, понад 5 мільйонів інфікованих пристроїв все ще намагаються підключитися до командних серверів.
BADBOX 2.0 — це не просто черговий Android-вірус. Це інфраструктурна кіберзагроза, що працює на глобальному рівні, вражає мільйони гаджетів, генерує прибуток через рекламу та прихований трафік, і дуже складно піддається видаленню. Google вдається до юридичного тиску, намагаючись остаточно зупинити операцію. Але поки C2 не ліквідовані повністю, а пристрої не отримали прошивку без BadBox, загроза лишається активною.
