BADBOX变种BADBOX 2.0被发现预装在222个国家的Android IoT设备上，将这些设备变成用于欺诈和大规模恶意活动的代理节点。

一系列基于安卓系统的恶意软件BADBOX 2.0正在将日常智能设备变成僵尸网络，甚至往往在它们到达用户家中之前就已构成威胁。美国联邦调查局(FBI)已将该恶意软件列为全球威胁。Point Wild旗下Lat61威胁情报团队的最新分析显示，222个国家和地区的超过100万台设备已遭入侵。

在Zulfikar Ramzan博士的带领下，Lat61团队追踪到了感染链的核心：一个名为的原生后门库libanl.so，它深嵌于设备固件之中。该恶意软件能够在恢复出厂设置后继续运行，执行隐秘操作，并通过隐藏的广告点击活动牟利。

BADBOX 2.0尤其危险的原因在于其传播方式。它并非仅仅通过恶意下载或虚假应用程序进行传播。许多受感染的设备出厂时就预装了该恶意软件。这意味着用户从启动新设备的那一刻起就暴露在病毒之下。

BADBOX于2023年10月首次被发现，它存在于入侵家庭网络的低成本Android电视盒中。在最近的攻击中，大多数受害者都是低成本Android物联网设备的用户，例如通用品牌智能电视、流媒体盒、数字投影仪或平板电脑，这些设备通常从在线市场购买，有时也在亚马逊上销售。这些设备通常通过不受监管的供应链制造，并在未经适当安全检查的情况下运往世界各地。

一旦激活，BADBOX 2.0就会将设备变成住宅代理网络中的一个节点。这些节点随后被出售给犯罪集团，犯罪集团利用这些节点在点击欺诈、凭证填充和其他类型的网络攻击中隐藏踪迹。

根据Point Wild分享的博客文章，分析师确定的关键组件包括：
1. libanl.so：启动时触发恶意软件模块的本机后门
2. p.jar和q.jar：负责下载新有效载荷和维持持久性的Java模块
3. com.hs.app：加载后门的系统级Android应用
4. catmore88(.)com和ipmoyu(.)com：用于与受感染设备通信的命令和控制(C2)域

该恶意软件能够在后台静默运行。受害者可能只会在设备空闲时才会注意到CPU占用率高、过热、性能低下或网络流量异常等症状。

Point Wild的遥测显示，感染已蔓延至222多个国家/地区，其中许多感染发生在设备开箱即用的情况下。用户无需下载任何内容或点击恶意链接。只需插入设备即可成为僵尸网络的一部分。

更糟糕的是，该设计允许持续访问、与远程服务器的加密通信以及通过隐形广告点击模块产生收入，所有这些都是在用户不知情的情况下进行的。

如果您的设备运行缓慢、异常发热，或即使在闲置时也出现异常的互联网活动迹象，则可能已被感染。其他危险信号包括Google Play Protect被禁用或完全缺失、出现不熟悉的应用程序，或者设备来自未经验证的固件的非品牌制造商。这些迹象可能表明BADBOX 2.0等恶意软件正在后台静默运行。

用户还应避免从不知名的卖家处购买无品牌或超低价的设备。选择那些提供持续固件支持并发布清晰安全文档的制造商。

请记住，BADBOX 2.0并非普通的恶意软件。它是一个大规模协同行动的一部分，该行动正在悄悄地将廉价的消费设备变成网络犯罪分子的工具，出租用于欺诈和其他攻击。

其背后的组织很可能位于中国，其特别危险之处在于其根深蒂固的渗透力。由于该恶意软件通常在制造过程中就已预装，因此发现或清除它比处理普通感染要困难得多。