A Human Security nevű kiberbiztonsági cég szerint több tízezer Android eszközt szállítottak le végfelhasználóknak fertőzött firmware-rel – írja a Security Week magazin. A globális kiberbűnözői művelet keretében, amelyet BadBox néven ismernek, a vállalat felfedezte, hogy egy fenyegető csoport a beszerzési lánc megfertőzését használta fel több mint 70 000 Android okostelefon, CTV doboz és tablet Triada malware-rel történő megfertőzéséhez. A fertőzött eszközök legalább egy kínai gyártótól származnak, mielőtt a készülékek a kereskedőkhöz kerültek volna. Kiszállításuk előtt úgynevezett backdoor injektáltak firmware-jükbe, és ezt az amerikai iskolai hálózatokon vették észre.
A 2016-ban felfedezett Triada egy moduláris trójai vírus, amely egy eszköz RAM-jában lakik, és az Android összes alkalmazására kapcsolódva a Zygote folyamatra támaszkodik, aktívan használja a root jogosultságokat a rendszerfájlok helyettesítésére. A Human Security által felfedezett BadBox műveletben a fertőzött alacsony költségű Android eszközök lehetővé teszik a fenyegető csoportok számára, hogy különféle hirdetési csalásokat hajtsanak végre.
A fertőzött eszközökre a vezérlő és ellenőrző (C&C) szerverből származó modulok egyike lehetővé teszi teljesen elrejtett WebViews létrehozását, amelyeket „a hirdetések kérése, renderelése és kattintása” céljából használnak. A BadBox továbbá tartalmaz egy lakossági proxy modult, amely lehetővé teszi a fenyegető számára a sértett hálózathoz való hozzáférés értékesítését. Emellett létrehozhatnak WhatsApp üzenetküldési fiókokat és Gmail fiókokat, amelyeket más kártékony tevékenységekhez használhatnak. A backdoor kapcsolódása a BadBox-fertőzött okostelefonok, tabletek és CTV dobozok C2 szervereihez új alkalmazások vagy kódok távoli telepítését teszi lehetővé a fenyegetők számára a készülék tulajdonosának engedélye nélkül.