BadBox 2.0: mais de 370 mil TV boxes foram infectadas no Brasil e usadas em fraudes, diz relatório

Empresa de cibersegurança Human Security identificou que o país foi o mais afetado por esquema que tinha TV boxes irregulares como alvos

É o caso do BadBox 2.0, esquema revelado no início de março em que cibercriminosos usaram vários desses aparelhos, além de alguns tablets e projetores, para lucrar com anúncios e ataques a outros dispositivos.

Mais de 1 milhão de aparelhos foram infectados, sendo 370 mil no Brasil, segundo a consultoria em cibersegurança Human Security, que investigou o caso.Na prática, golpistas aproveitaram aparelhos sem certificação para criar uma rede de robôs (mais conhecida como "botnet") capaz de executar seus comandos.

O BadBox 2.0 é uma versão repaginada do BadBox, esquema que tinha sido descoberto em 2023 e afetava somente 74 mil aparelhos. Agora, ele atingiu outra proporção e virou a maior botnet de TV boxes já identificada, segundo a Human Security.

Ainda de acordo com a empresa, o esquema funciona assim:

Os aparelhos são infectados por diferentes métodos (ainda na fábrica, na primeira inicialização ou por aplicativos baixados pelos usuários);

O arquivo mal-intencionado faz os aparelhos se comunicarem com um servidor externo que recebe permissão para controlar o sistema;

Golpistas faturam com a exibição fraudulenta de anúncios e com o "aluguel" do dispositivo para disfarçar a origem de outros ataques.

Para lucrar com propaganda, os golpistas usaram diferentes estratégias: anúncios escondidos em segundo plano, em uma janela abaixo do aplicativo principal, e a tomada do dispositivo para forçar cliques em anúncios de sites que eram parte do esquema.

Ambas usaram um modelo muito conhecido na internet, em que empresas pagam por visualizações e interações em seus anúncios. Nesse caso, os cibercriminosos burlavam as regras para fazer parecer que as propagandas estavam sendo vistas por usuários reais.

Os golpistas também usaram os aparelhos infectados para intermediar o acesso de outras pessoas à internet. Esse é um serviço conhecido como "proxy residencial" e que envolve um pagamento para permitir a navegação pelo IP desses dispositivos afetados.

O IP é um código de identificação dos aparelhos na internet. Ao "alugar" o IP de outro aparelho, um usuário pode maquiar a sua navegação para roubar contas, realizar ataques coordenados e disparar arquivos maliciosos, por exemplo."É todo um ecossistema fraudulento, que é bastante substancial e realmente mostra essa sofisticação maior", disse ao g1 Lindsay Kaye, vice-presidente de Inteligência de Ameaças da Human Security.

Os aparelhos infectados usam uma versão aberta do Android, que pode ser alterada livremente por terceiros e, por isso, não tem a proteção do Google.

Segundo a Human Security, o Google contribuiu com a investigação e derrubou as contas usadas pelos cibercriminosos em suas plataformas de anúncios para impedi-los de lucrar com anúncios.

A invasão do aparelho é praticamente imperceptível e difícil de ser identificada, mas é possível que o aparelho tenha o funcionamento afetado.

"No disparo de um ataque, o dispositivo é usado como parte da ação. Nesse momento, certamente, vai ter algum problema de desempenho", explicou Flávio Silva, diretor de Tecnologia da Trend Micro no Brasil. A empresa também colaborou com a investigação.

No momento, os pesquisadores ainda não encontraram uma forma de orientar usuários a verificar se o aparelho foi comprometido pelo BadBox 2.0 ou de corrigir o problema.

"Se o dispositivo está se comportando de forma estranha ou você está preocupado, a coisa mais segura a se fazer é se livrar dele e obter um dispositivo certificado", explicou Lindsay, da Human Security.

A recomendação é comprar apenas TV boxes autorizadas pela Anatel, que verifica, entre outros itens, a segurança contra possíveis ataques. A agência oferece uma lista de TV boxes certificadas neste link.

"Estar homologado não significa estar livre de sofrer algum tipo de ataque", disse Flávio, da Trend Micro. "Mas uma vez identificado que esses dispositivos estão vulneráveis, o fabricante solta uma atualização que impede que ele seja utilizado por um cibercriminoso".