O Escritório Federal de Segurança da Informação da Alemanha (BSI) anunciou o desmantelamento da operação de malware BADBOX, pré-instalado em pelo menos 30.000 dispositivos conectados à internet vendidos no país. A ação incluiu o uso da técnica de sinkholing para interromper a comunicação entre os dispositivos infectados e seus servidores de comando e controle (C2), redirecionando os domínios associados ao malware.

Os dispositivos afetados incluem porta-retratos digitais, players de mídia, streamers e possivelmente telefones e tablets, todos com versões desatualizadas do sistema Android e malware pré-instalado de fábrica. O BADBOX foi documentado pela primeira vez em outubro de 2023 pela equipe de inteligência da HUMAN, que descreveu a ameaça como parte de um esquema envolvendo a implantação do malware Triada em dispositivos Android de baixo custo e marcas menos conhecidas. Esse esquema explora vulnerabilidades na cadeia de suprimentos, permitindo que os dispositivos coletem dados sensíveis, como códigos de autenticação, e instalem outros malwares.

A operação, supostamente gerida a partir da China, também envolve o botnet de fraude publicitária PEACHPIT, projetado para falsificar tráfego de aplicativos Android e iOS populares e gerar impressões de anúncios fraudulentos vendidas em plataformas de publicidade programática. Além disso, o BSI alertou que os dispositivos comprometidos podem funcionar como proxies residenciais, permitindo que agentes mal-intencionados redirecionem tráfego para evitar detecção. Esses dispositivos também podem ser usados para criar contas falsas em serviços como Gmail e WhatsApp, ampliando ainda mais as possibilidades de abuso.