VOLTAR ÀS NOTÍCIAS
PesquisaAlto

Operadores da Botnet Badbox 2.0 Identificados: Principais Atores por Trás da Ameaça Cibernética Ligada à China

5 min de leituraFonte: Krebs on Security
Diagram of Badbox 2.0 botnet control panel showing authorized user emails and connections to Chinese operators

Pesquisadores expõem operadores da botnet Badbox 2.0, ligada à China, que infectou mais de 10 milhões de dispositivos Android TV. Saiba como funciona e quem está por trás.

Operadores da Botnet Expostos por meio de Ostentação de Cibercriminosos

Pesquisadores de cibersegurança identificaram indivíduos-chave que provavelmente operam a botnet Badbox 2.0, uma ameaça cibernética baseada na China que infectou mais de 10 milhões de dispositivos Android TV de streaming. O avanço ocorreu após operadores da botnet Kimwolf — uma rede de malware separada, porém igualmente disruptiva — compartilharem uma captura de tela do painel de controle da Badbox 2.0, revelando acesso não autorizado e expondo detalhes críticos sobre seus administradores.

Tanto o FBI quanto a Google estão investigando ativamente a Badbox 2.0, que pré-instala software malicioso em caixas de Android TV antes que cheguem aos consumidores. A botnet também se dissemina por meio de mercados de aplicativos não oficiais, possibilitando fraudes publicitárias e acesso por backdoor a redes domésticas.

Análise Técnica: Como a Badbox 2.0 Opera

A Badbox 2.0 é sucessora da campanha Badbox original, desmantelada em 2024. Diferentemente de sua antecessora, que visava principalmente caixas de Android TV, a Badbox 2.0 expande seu alcance por meio de:

  • Pré-infecção de dispositivos antes da compra: O malware é incorporado ao firmware, garantindo persistência mesmo após redefinições de fábrica.
  • Exploração de lojas de aplicativos não oficiais: Usuários baixam, sem saber, aplicativos maliciosos durante a configuração.
  • Habilitação de fraudes publicitárias em larga escala: Dispositivos comprometidos geram impressões de anúncios fraudulentas, custando milhões aos anunciantes.

A botnet Kimwolf, que infectou mais de 2 milhões de dispositivos, recentemente demonstrou sua capacidade de sequestrar a infraestrutura da Badbox 2.0. Os operadores da Kimwolf — conhecidos pelos pseudônimos "Dort" e "Snow" — adicionaram seu e-mail (ABCD) ao painel de controle da Badbox 2.0, sugerindo uma possível fusão ou tomada dos sistemas de comando e controle (C2) da botnet.

Indivíduos-Chave Ligados à Badbox 2.0

A análise forense da captura de tela do painel de controle da Badbox 2.0 revelou sete usuários autorizados, incluindo:

  1. Chen Daihai (陈代海)

    • E-mail: 34557257@qq.com (pseudônimo: Chen)
    • Ligado à Beijing Hong Dake Wang Science & Technology Co Ltd e Moxin Beijing Science and Technology Co. Ltd.
    • Domínios associados à Badbox 2.0: asmeisvip[.]net, moyix[.]com, vmud[.]net.
    • Reutilização de senha (cdh76111) vinculada a cathead@gmail.com e daihaic@gmail.com.

  2. Zhu Zhiyu (朱志宇)

    • E-mail: xavierzhu@qq.com (pseudônimo: Mr.Zhu)
    • Co-fundador da Beijing Astrolink Wireless Digital Technology Co. Ltd.
    • Registros de domínio incluem astrolink[.]cn, outro domínio associado à Badbox 2.0.

  3. Huang Guilin (桂林 黄)

    • E-mail: 189308024@qq.com (pseudônimo: admin)
    • Ligado a guilincloud[.]cn e ao número de telefone 18681627767.
    • Ativo em redes sociais chinesas sob o nome de usuário h_guilin.

Os quatro usuários restantes, todos vinculados a endereços de e-mail qq.com, não possuíam afiliações corporativas claras e não responderam às investigações.

Impacto e Ramificações Legais

A escala e sofisticação da Badbox 2.0 representam riscos significativos:

  • Privacidade do Consumidor: Dispositivos comprometidos podem exfiltrar dados pessoais, incluindo credenciais de Wi-Fi e histórico de navegação.
  • Segurança de Rede: Dispositivos infectados atuam como portas de entrada para ataques adicionais em redes domésticas ou corporativas.
  • Fraude Financeira: Esquemas de fraude publicitária desviam receitas de anunciantes legítimos.

Em julho de 2025, a Google entrou com uma ação judicial do tipo "John Doe" contra 25 réus não identificados, alegando que operavam a Badbox 2.0 com fins lucrativos. O comunicado do FBI de junho de 2025 alertou sobre dispositivos pré-infectados, orientando os consumidores a evitar caixas de Android TV não oficiais.

Acesso Não Autorizado da Kimwolf: Um Ponto de Virada

Os operadores da Kimwolf exploraram a infraestrutura da Badbox 2.0 após provedores de proxies residenciais corrigirem vulnerabilidades em seus sistemas. Segundo uma fonte próxima à investigação:

"Dort obteve acesso não autorizado ao painel de controle da Badbox. Como a Badbox não vende proxies, ela permaneceu sem correções — permitindo que a Kimwolf carregasse malware diretamente em dispositivos infectados pela Badbox."

O método de acesso ainda não está claro, mas é improvável que a conta ABCD (vinculada a Dort) persista, já que os investigadores notificaram todos os usuários do painel da Badbox 2.0 sobre a violação.

Recomendações para Equipes de Segurança

  1. Auditoria de Dispositivos: Identificar e remover caixas de Android TV não oficiais das redes.
  2. Verificação de Firmware: Garantir que os dispositivos executem firmware assinado pelo fornecedor para evitar malware pré-instalado.
  3. Segmentação de Rede: Isolar dispositivos IoT para limitar o movimento lateral em caso de comprometimento.
  4. Inteligência de Ameaças: Monitorar domínios e IPs associados à Badbox 2.0 (ex.: asmeisvip[.]net, moyix[.]com).
  5. Educação do Usuário: Alertar funcionários e consumidores sobre os riscos de lojas de aplicativos não oficiais e serviços de streaming piratas.

Conclusão

A exposição de Chen Daihai e Zhu Zhiyu como prováveis operadores da Badbox 2.0 marca um passo crítico no desmantelamento de uma das maiores botnets direcionadas a dispositivos Android. Embora ações legais e mitigações técnicas estejam em andamento, o incidente ressalta a ameaça persistente de ataques à cadeia de suprimentos e a necessidade de maior supervisão na fabricação e distribuição de dispositivos IoT.

Compartilhar

TwitterLinkedIn