يقول باحثون من العديد من الشركات أن الحملة يبدو أنها تأتي من نظام بيئي متصل بشكل فضفاض لمجموعات الاحتيال بدلاً من ممثل واحد. كل مجموعة لديها إصداراتها الخاصة من وحدات Badbox 2.0 الخلفية والبرامج الضارة وتوزيع البرنامج بعدة طرق. في بعض الحالات ، يتم تثبيت التطبيقات الخبيثة مسبقًا على الأجهزة التي يتم اختراقها ، ولكن في العديد من الأمثلة التي تتبعها الباحثون ، يخدع المهاجمون المستخدمين في تثبيت التطبيقات غير المعروفة.
يسلط الباحثون الضوء على تقنية يقوم فيها المحتالون بإنشاء تطبيق حميد – Say ، لعبة – في متجر Play من Google لإظهار أنه تم فحصه ، ولكن بعد ذلك خداع المستخدمين لتنزيل إصدارات متطابقة تقريبًا من التطبيق لم يتم استضافتها في متاجر التطبيقات الرسمية وذات ضارة. يقول الباحثون إن تطبيقات “التوأم الشريرة” ظهرت 24 مرة على الأقل ، مما يسمح للمهاجمين بتشغيل عمليات الاحتيال الإعلانية في إصدارات Google Play من تطبيقاتهم ، وتوزيع البرامج الضارة في تطبيقاتهم الدهنية. وجد الإنسان أيضًا أن المحتالين وزعوا أكثر من 200 إصدارات تعرضت للخطر من التطبيقات السائدة الشهيرة وسيلة أخرى لنشر خلفيةهم.
يقول ليندسي كاي ، نائب رئيس الإنسان ، النائب لشبكة التهديدات ، “لقد رأينا أربعة أنواع مختلفة من وحدات الاحتيال – من بينها من وحدات الاحتيال الإعلانية ، ونقرة واحدة واحدة ، ثم شبكة الوكيل السكنية واحدة – ولكنها قابلة للتمديد”. “لذلك يمكنك أن تتخيل كيف ، إذا استمر الوقت وتمكنوا من تطوير المزيد من الوحدات النمطية ، وربما صياغة المزيد من العلاقات ، فهناك فرصة للحصول على المزيد من العلاقات.”
تعاون الباحثون من شركة الأمن Trend Micro مع Human on the Badbox 2.0 التحقيق ، مع التركيز بشكل خاص على الجهات الفاعلة وراء هذا النشاط.
يقول Fyodor Yarochkin ، وهو باحث كبير في التهديد في Trend Micro: “حجم العملية ضخم”. وأضاف أنه على الرغم من أن هناك “ما يصل إلى مليون جهاز عبر الإنترنت بسهولة” لأي من المجموعات ، “هذا ليس سوى عدد من الأجهزة المتصلة حاليًا بمنصةها. إذا قمت بحساب جميع الأجهزة التي من المحتمل أن يكون لها حمولةها ، فمن المحتمل أن تتجاوز بضعة ملايين. “
يضيف Yarochkin أن العديد من المجموعات المشاركة في الحملات يبدو أن لديها بعض الاتصال بشركات الإعلانات والتسويق في السوق الصينية. قبل أكثر من عقد من الزمان ، يوضح Yarochkin ، كانت هناك حالات قانونية متعددة في الصين قامت فيها الشركات بتركيب مكونات “صامتة” على الأجهزة واستخدمتها في مجموعة متنوعة من النشاط الاحتيالي على ما يبدو.
يقول ياروككين: “الشركات التي نجت بشكل أساسي في سن عام 2015 كانت الشركات التي تكيفت”. ويشير إلى أن تحقيقاته قد حددت الآن “كيانات أعمال” متعددة في الصين والتي يبدو أنها مرتبطة ببعض المجموعات المشاركة في Badbox 2. تتضمن الروابط الروابط الاقتصادية والتقنية. يقول: “لقد حددنا عناوينهم ، لقد رأينا بعض الصور لمكاتبهم ، ولديهم حسابات لبعض الموظفين على LinkedIn”.
تعاونت Human و Trend Micro و Google أيضًا مع Group Security Server على الإنترنت لتخصيص أكبر قدر ممكن من البنية التحتية لـ Badbox 2.0 من خلال Sinkholing the Botnet بحيث يرسل بشكل أساسي حركة المرور وطلبات التعليمات في الفراغ. لكن الباحثين يحذرون من أنه بعد أن قام المحتالون بتعليق الكشف عن مخطط Badbox الأصلي ، من غير المرجح أن ينهي تعريض Badbox 2.0 النشاط بشكل دائم.
يقول Yarochkin من Trend Micro: “كمستهلك ، يجب أن تضع في اعتبارك أنه إذا كان الجهاز رخيصًا جدًا ليكون صحيحًا ، فيجب أن تكون مستعدًا لوجود بعض المفاجآت الإضافية المخفية في الجهاز”. “لا يوجد جبن مجاني ما لم يكن الجبن في مصيدة فئران.”
