BADBOX 僵尸网络又回来了，而且比以往任何时候都更加危险。这一网络犯罪活动原本被认为已经被瓦解，但现在不仅死灰复燃，而且规模不断扩大，已入侵全球超过 192,000 台基于 Android 的设备。Bitsight 安全研究公司的最新报告揭示了该僵尸网络死灰复燃、日益复杂的惊人细节。

BADBOX 是一种大规模恶意软件行动，直接在供应链层面入侵安卓设备，包括电视盒、智能手机和现在的高端智能电视。这意味着设备在到达消费者手中之前就已经感染了恶意软件，通常是通过被篡改的固件或预装的应用程序。

正如 Bitsight 所解释的那样，“这些设备成为复杂犯罪计划的受害者，它们要么在供应链中被篡改，要么被制造商出售，并在未经用户同意的情况下安装 APK。”

僵尸网络在最高峰时估计有 74,000 台设备，现在全球受感染的设备已超过 192,000 台，遥测数据显示这一数字还在稳步增长。与以往主要针对低成本、非品牌设备的活动不同，BADBOX 已将其覆盖范围扩大到 Yandex 4K QLED 智能电视和海信 Instawall T963 智能手机等高端设备。受感染设备最集中的国家是俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰，美国和法国等国家也有残余活动。

BADBOX 恶意软件利用其在设备固件中的存在执行恶意活动，包括：

• 住宅代理： 将被入侵的设备用作代理端点。
• 远程代码安装： 允许威胁行为者在未经用户同意的情况下部署新的恶意软件模块。
• 广告欺诈和账户滥用： 利用受感染设备进行欺诈活动。

恶意软件启动后会立即连接到命令与控制（C2）服务器，从而下载并执行新的有效载荷。Bitsight 的报告强调：“威胁行为者可以构建、下载和执行全新的有效载荷，以实施我们目前无法看到的新计划。”

BADBOX 感染凸显了与供应链受损相关的风险。Bitsight 指出，感染方法包括制造商的故意修改和开发或运输阶段的篡改。这些做法使检测对消费者和企业都极具挑战性。

该报告发现了Yandex 4K QLED智能电视与BADBOX C2域（coslogdydy[.]in）之间的通信。研究人员写道：“这是第一次看到大品牌智能电视与 BADBOX 命令和控制（C2）域进行如此大规模的直接通信。一天之内就检测到了来自 Yandex 设备的 10 万多个独立 IP。”

虽然德国等一些国家在瓦解僵尸网络方面取得了长足进步，最近已影响到 3 万台设备，但 BADBOX 在全球的传播仍是一项重大挑战。Bitsight 的研究人员在短短 24 小时内就在一个 BADBOX 域名上发现了漏洞，捕获了超过 16 万个独特的 IP 地址，凸显了该僵尸网络的庞大规模。

Bitsight 警告说：“您的数据不仅面临风险，还可能被用于牟利和掩护恶意操作。”