Google heeft in China een aanklacht ingediend tegen 25 niet bij naam genoemde personen, waarbij ze worden beschuldigd van het hacken van meer dan 10 miljoen apparaten over de hele wereld, het gebruik ervan om een botnet te bouwen met de naam BadBox 2.0, en het plegen van andere cybermisdaden en fraude.
“Sinds april 2025 heeft BadBox 2.0 meer dan 10 miljoen op AOSP gebaseerde tv-streamingboxen, tablets, projectoren en aftermarket auto-infotainmentsystemen geïnfecteerd”, aldus de rechtszaak. "In feite is BadBox 2.0 het grootste botnet voor aangesloten tv-infecties dat tot nu toe is ontdekt en dat zich verder uitstrekt dan aangesloten tv's en ook tablets, digitale projectoren en andere apparaten omvat", aldus de rechtszaak [PDF].
“Deze rechtszaak stelt ons in staat de criminele activiteiten achter het botnet verder te ontwrichten en hun vermogen om nog meer misdaden en fraude te plegen af te snijden”, aldus een blogpost donderdag.
De zoek- en advertentiegigant heeft ook egoïstische motieven, zoals hij in de indiening beweert dat BadBox "de relatie van Google met zijn gebruikers (en potentiële gebruikers) verstoort, de reputatie van Google schaadt, de waarde van de producten en diensten van Google ondermijnt en Google dwingt aanzienlijke middelen te besteden aan het onderzoeken en bestrijden van de schadelijke activiteiten van het botnet."
Omdat de verdachten zich in China bevinden, dat zelden uitleveringen aan de Verenigde Staten toestaat, is het onwaarschijnlijk dat verdachten via een rechtszaak ter verantwoording zullen worden geroepen.
Google werkte eerder samen met Trend Micro, Human Security en de Shadowserver Foundation om de C2-servers en domeinen te identificeren die gekaapte apparaten besturen.
Ervan uitgaande dat de rechtbank de kant van Google kiest, zal deze rechtszaak de technologiegigant in staat stellen deze C2-domeinen op te slokken, waardoor de werking van BadBox 2.0 verder wordt verstoord.
BadBox brak voor het eerst uit eind 2022, toen aanvallers een achterdeur gebruikten om ongeveer 74.000 Android-tv-apparaten van een ander merk te infecteren. De Satori-onderzoekers van Human Security hebben met succes de campagne van BadBox verstoord door de advertentiefraude-infrastructuur en C2-servers neer te halen.
Eerder dit jaar luidde het Satori-team echter de noodklok over BadBox 2.0. Human Security werkte opnieuw samen met particuliere bedrijven en wetshandhavers om de infrastructuur gedeeltelijk te ontwrichten.
Maar zelfs na haar pogingen om BadBox 2.0 te onderdrukken, bracht de FBI een openbare aankondiging uit waarin ze consumenten waarschuwde dat cybercriminelen Android-apparaten blijven exploiteren, wat betekent dat het botnet zich blijft uitbreiden.
Hetzelfde geldt voor de residentiële proxy-infrastructuur van BadBox, waarmee aanvallers kwaadaardig netwerkverkeer kunnen maskeren met behulp van echte IP-adressen die zijn toegewezen aan particuliere gebruikers. Bedreigingsactoren gebruiken deze toegang vervolgens om gedistribueerde denial-of-service (DDoS) en andere aanvallen vanaf het gecompromitteerde apparaat uit te voeren, of om toegang tot het IP-adres van het apparaat aan andere kwaadwillende actoren te verkopen. Volgens Human Security realiseren gebruikers van geïnfecteerde boxen zich zelden dat hun aangesloten tv onderdeel is geworden van een botnet.
De beveiligingsopslag heeft eerder accountovernames, het aanmaken van valse accounts, diefstal van inloggegevens, lekken van gevoelige informatie en DDoS-aanvallen gedocumenteerd die werden uitgevoerd door downstream-criminelen die residentiële proxydiensten van BadBox-operators kochten.
Bovendien, zoals Gavin Reid, hoofd informatiebeveiliging van Human Security eerder zei: "We verwachten dat ze ook Badbox 3 zullen lanceren."
De rechtszaak beschrijft hoe BadBox – door Google ‘BadBox 2.0 Enterprise’ genoemd – bestaat uit verschillende teams die verantwoordelijk zijn voor het ontwerpen en uitvoeren van verschillende delen van de operatie voor op internet aangesloten apparaten, zowel voordat als nadat consumenten de apparaten ontvangen.
Ten eerste ontwikkelt en beheert de Infrastructure Group de belangrijkste C2-servers en domeinen van BadBox 2.0. De rechtszaak vermeldt alle bekende domeinnamen die door het bedrijf worden gebruikt.
Er is ook een "backdoor-malwaregroep" die verantwoordelijk is voor het vooraf installeren van backdoors in bots die delen van het botnet bedienen en toegang verkopen tot proxy-apparaten die worden gebruikt voor advertentiefraude en andere geldverdienende programma's.
De onderneming beschikt ook over teams die de secundaire infrastructuur, scenariospecifieke malware en scenariospecifieke applicaties en websites onderhouden die op geïnfecteerde apparaten worden gebruikt. Dit omvat domeinen en C2-servers die worden gebruikt om malwarepakketten uit te voeren en inkomsten te genereren uit advertentieruimte.
“Organisaties in deze bedrijfssector gebruiken verschillende malwarepakketten om fraude te plegen, zoals het bieden van downstream proxy-toegang tot geïnfecteerde apparaten of het uitvoeren van advertentiefraude”, stelt de rechtszaak, waarbij twee dreigingsgroepen achter deze secundaire infrastructuur worden genoemd.
Er is ook een "Evil Twin"-groep die gespecialiseerd is in het ontwikkelen van apps voor advertentiefraudecampagnes, waarbij gebruik wordt gemaakt van "Evil Twin"-apps (kwaadaardige kopieën van legitieme apps die in de Google Play Store worden verkocht) om gebruikers te misleiden zodat ze kwaadaardige kopieën downloaden en advertenties genereren. Deze apps starten ook verborgen webbrowsers die verborgen advertenties laden.
Bovendien is de advergame-groep gekoppeld aan een verborgen webbrowserprogramma dat is geïmplementeerd via geïnfecteerde apparaten die misleidende 'games' gebruiken om advertenties te genereren.
Volgens de rechtszaak zijn al deze verschillende groepen van bedreigingsactoren met elkaar verbonden via een gedeelde infrastructuur en ‘historische en huidige zakelijke relaties’. De rechtszaak vervolgt:
Bedrijven werken samen om BadBox 2.0-initiatieven te implementeren; geen enkel initiatief kan inkomsten genereren zonder de deelname en coördinatie van meerdere leden. Bedrijven hebben een ecosysteem van gecentraliseerde C2-servers gebouwd, backdoors ontwikkeld, geëxploiteerd en verkocht die toegang hadden tot individuele apparaten, deze apparaten verbonden met gecentraliseerde C2-servers en deze backdoors gebruikt om het digitale advertentie-ecosysteem vanuit meerdere invalshoeken aan te vallen.
Toen hem werd gevraagd naar de rechtszaak prees de CEO van Human Security de actie van Google: "Dit harde optreden markeert een belangrijke stap in onze voortdurende strijd tegen geavanceerde fraude die apparaten kaapt, geld steelt en consumenten uitbuit zonder hun medeweten. We zijn vereerd om nauw betrokken te zijn bij deze operatie en nauw samen te werken met Google, Trend Micro en de Shadowserver Foundation. Hun medewerking is van onschatbare waarde geweest bij het helpen ons deze dreiging bloot te leggen en te neutraliseren."