Google已在中国对 25 名未透露姓名的个人提起诉讼,指控他们入侵全球超过 1000 万台设备,并利用它们构建名为 BadBox 2.0 的僵尸网络,然后实施其他网络犯罪和欺诈。
诉讼称,“截至 2025 年 4 月,BadBox 2.0 已感染超过一千万台基于 AOSP 的电视流媒体盒、平板电脑、投影仪以及售后汽车信息娱乐系统。” 诉讼文件 [ PDF ] 指出,“事实上,BadBox 2.0 是迄今为止发现的最大的联网电视感染僵尸网络,其感染范围已超越联网电视,涵盖平板电脑、数字投影仪等其他设备。”
周四的一篇博客文章称:“此次诉讼使我们能够进一步瓦解僵尸网络背后的犯罪行动,切断他们实施更多犯罪和欺诈的能力。”
这家搜索和广告巨头也有自私的动机,因为它在文件中指控 BadBox“干扰了Google与其用户(和潜在用户)的关系,损害了Google的声誉,损害了Google产品和服务的价值,并迫使Google投入大量资源调查和打击僵尸网络的有害活动。”
由于嫌疑人在中国,而中国很少允许将嫌疑人引渡到美国,因此不太可能通过诉讼追究任何嫌疑人的责任。
Google此前与趋势科技、Human Security 和 Shadowserver Foundation 合作,确定了控制被劫持设备的 C2 服务器和域。
因此,假设法院站在Google一边,这起诉讼将允许这家科技巨头吞噬这些 C2 域名——进一步扰乱 BadBox 2.0 的运营。
BadBox 首次爆发于 2022 年底,当时攻击者利用后门感染了约 7.4 万台非品牌 Android 联网电视设备。Human Security 的 Satori 研究人员通过摧毁其广告欺诈基础设施和 C2 服务器,成功阻断了 BadBox 的攻击活动。
然而,今年早些时候,Satori 团队就 BadBox 2.0发出了警报。Human Security 再次与私营公司和执法部门合作,部分破坏了其基础设施。
但即使在努力压制 BadBox 2.0 之后,FBI 仍然发布了一份公共服务公告,警告消费者网络犯罪分子仍在继续利用 Android 设备,这意味着僵尸网络仍在继续扩张。
BadBox 的住宅代理基础设施也同样如此,该基础设施允许攻击者使用分配给住宅用户的真实 IP 地址来掩盖恶意网络流量。威胁行为者随后利用此访问权限从受感染的设备发起分布式拒绝服务 (DDoS) 和其他攻击,或将设备 IP 地址的访问权限出售给其他恶意分子。据 Human Security 称,受感染盒子的用户很少会意识到他们的联网电视已沦为僵尸网络的一部分。
该安全商店之前曾记录过账户接管、虚假账户创建、凭证窃取、敏感信息泄露以及 DDoS 攻击,这些攻击都是由从 BadBox 运营商处购买住宅代理服务的下游犯罪分子实施的。
此外,正如 Human Security 首席信息安全官 Gavin Reid在早所说:“我们预计它们还会推出 Badbox 3。”
该诉讼详细介绍了 BadBox 的运作方式——Google称之为“BadBox 2.0 Enterprise”——它包括几个不同的团队,负责设计和执行针对互联网连接设备的操作的各个部分,无论是在消费者收到设备之前还是之后。
首先,基础设施组开发并管理 BadBox 2.0 的主要 C2 服务器和域名。诉讼列出了该企业使用的所有已知域名。
还有一个“后门恶意软件组”,负责在机器人中预装后门,用于操作部分僵尸网络并出售用于广告欺诈和其他赚钱计划的代理设备的访问权限。
该企业还拥有维护二级基础设施、特定方案恶意软件以及受感染设备上使用的特定方案应用程序和网站的团队。这包括用于运行恶意软件包和利用广告空间获利的域名和 C2 服务器。
诉讼称:“该企业部门的组织操作各种恶意软件包来实施欺诈计划,例如为受感染的设备提供下游代理访问或实施广告欺诈”,并列出了该二级基础设施背后的两个威胁组织。
还有一个“邪恶双胞胎”组织,该组织专门开发用于广告欺诈活动的应用程序,使用“邪恶双胞胎”应用程序(Google Play 商店中出售的合法应用程序的恶意副本)诱骗用户下载恶意副本,并生成广告。这些应用程序还会启动隐藏的网络浏览器,加载隐藏的广告。
此外,广告游戏集团还与通过受感染设备实施的隐藏网络浏览器计划有关,该计划使用欺诈性“游戏”来生成广告。
根据诉讼,所有这些不同的威胁行为者团体都通过共享的基础设施以及“历史和当前的业务关系”保持着联系。诉讼继续写道:
企业共同实施 BadBox 2.0 计划;如果没有多个成员的参与和协调,任何计划都无法产生收益。企业构建了一个中心化的 C2 服务器生态系统,开发、利用并出售访问单个设备的后门,将这些设备连接到中心化的 C2 服务器,并利用这些后门从多个角度攻击数字广告生态系统。
当被问及这起诉讼时,Human Security 首席执行官对Google的行动表示赞赏:“此次打击行动标志着我们在持续打击复杂的欺诈行为方面迈出了重要一步,这些欺诈行为会劫持设备、窃取资金,并在消费者不知情的情况下进行剥削。我们很荣幸能够深入参与此次行动,并与Google、趋势科技和 Shadowserver 基金会紧密合作。他们的合作在帮助我们揭露和消除这一威胁方面发挥了不可估量的作用。”