BadBox 2.0: mais de 370 mil TV boxes foram infectadas no Brasil e usadas em fraudes, diz relatório

As TV boxes irregulares, isto é, que não têm certificação da Agência Nacional de Telecomunicações (Anatel), costumam ter preço e acesso livre a canais como atrativos, mas podem expor usuários a fraudes.

É o caso do BadBox 2.0, esquema revelado no início de março em que cibercriminosos usaram vários desses aparelhos, além de alguns tablets e projetores, para lucrar com anúncios e ataques a outros dispositivos.

Mais de 1 milhão de aparelhos foram infectados, sendo 370 mil no Brasil, segundo a consultoria em cibersegurança Human Security, que investigou o caso.

O BadBox 2.0 é uma versão repaginada do BadBox, esquema que tinha sido descoberto em 2023 e afetava somente 74 mil aparelhos. Agora, ele atingiu outra proporção e virou a maior botnet de TV boxes já identificada, segundo a Human Security.

Ainda de acordo com a empresa, o esquema funciona assim:

Os aparelhos são infectados por diferentes métodos (ainda na fábrica, na primeira inicialização ou por aplicativos baixados pelos usuários);
O arquivo mal-intencionado faz os aparelhos se comunicarem com um servidor externo que recebe permissão para controlar o sistema;
Golpistas faturam com a exibição fraudulenta de anúncios e com o “aluguel” do dispositivo para disfarçar a origem de outros ataques.
Como os golpistas ganharam dinheiro
Para lucrar com propaganda, os golpistas usaram diferentes estratégias: anúncios escondidos em segundo plano, em uma janela abaixo do aplicativo principal, e a tomada do dispositivo para forçar cliques em anúncios de sites que eram parte do esquema.

Ambas usaram um modelo muito conhecido na internet, em que empresas pagam por visualizações e interações em seus anúncios. Nesse caso, os cibercriminosos burlavam as regras para fazer parecer que as propagandas estavam sendo vistas por usuários reais.

Os golpistas também usaram os aparelhos infectados para intermediar o acesso de outras pessoas à internet. Esse é um serviço conhecido como “proxy residencial” e que envolve um pagamento para permitir a navegação pelo IP desses dispositivos afetados.

O IP é um código de identificação dos aparelhos na internet. Ao “alugar” o IP de outro aparelho, um usuário pode maquiar a sua navegação para roubar contas, realizar ataques coordenados e disparar arquivos maliciosos, por exemplo.

Como as TV boxes são afetadas
Os aparelhos infectados usam uma versão aberta do Android, que pode ser alterada livremente por terceiros e, por isso, não tem a proteção do Google.

Segundo a Human Security, o Google contribuiu com a investigação e derrubou as contas usadas pelos cibercriminosos em suas plataformas de anúncios para impedi-los de lucrar com anúncios.

A invasão do aparelho é praticamente imperceptível e difícil de ser identificada, mas é possível que o aparelho tenha o funcionamento afetado.

“No disparo de um ataque, o dispositivo é usado como parte da ação. Nesse momento, certamente, vai ter algum problema de desempenho”, explicou Flávio Silva, diretor de Tecnologia da Trend Micro no Brasil. A empresa também colaborou com a investigação.

No momento, os pesquisadores ainda não encontraram uma forma de orientar usuários a verificar se o aparelho foi comprometido pelo BadBox 2.0 ou de corrigir o problema.

A recomendação é comprar apenas TV boxes autorizadas pela Anatel, que verifica, entre outros itens, a segurança contra possíveis ataques. A agência oferece uma lista de TV boxes certificadas neste link.

“Estar homologado não significa estar livre de sofrer algum tipo de ataque”, disse Flávio, da Trend Micro. “Mas uma vez identificado que esses dispositivos estão vulneráveis, o fabricante solta uma atualização que impede que ele seja utilizado por um cibercriminoso”.

Fonte: G1