Das amerikanische FBI hat zum 5. Juni 2025 eine allgemeine Warnung herausgegeben, die vor der Infektion von Android-Geräten mit der Malware BadBox 2.0 warnt. Laut dieser Warnung müssen Millionen von Android-Geräten infiziert sein. Es ist nicht die erste Warnung vor der BadBox-Malware, die inzwischen zum BADBOX 2.0-Botnet weiter entwickelt wurde.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Was sind BadBox und BadBox 2.0?
BadBox ist eine Malware, die sich auf Android-Geräten einnisten und dort Schaden anrichten kann. Die Malware treibt seit 2023 ihr Unwesen – oft auf veralteten Android-Geräten, die keine Updates mehr bekommen.
Der Schädling ist in der Lage, unbemerkt Accounts für E-Mail- und Messenger-Dienste zu erstellen, über die anschließend Fake-News verbreitet werden können. Weiterhin kann BadBox Werbebetrug (Ad-Fraud) durchführen, indem es im Hintergrund Webseiten ansteuert.
Darüber hinaus kann die Schadsoftware als Residental-Proxy-Service fungieren. Dabei stellt sie die Internetverbindung der Nutzerinnen und Nutzer unbekannten Dritten zur Verfügung, die diese dann für kriminelle Aktivitäten (Cyberangriffe, Verbreitung illegaler Inhalte) nutzen können. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden.
BSI-Maßnahme zur Abschaltung von BadBox
Im Dezember 2024 hatte ich im Beitrag BadBox: BSI warnt vor Malware auf IoT-Geräten berichtet, dass vom BSI eine Maßnahme zur Abschaltung dieser Malware-Infrastruktur eingeleitet wurde. Dazu wird die Kommunikation betroffener Geräte mit den Kontrollservern der Täter von Providern, die über 100.000 Kundinnen und Kunden haben, auf Sinkhole-Server umgeleitet. Für diese Geräte (betrifft Deutschland) besteht keine akute Gefahr mehr, solange das BSI die Sinkholing-Maßnahme aufrechterhält, hieß es damals.
Neues BadBox 2.0-Botnet
Allerdings gab es im März 2025 eine Meldung, dass Trend Micro, Human Security, Google und Shadowserver eine ausgeklügelte BadBox 2.0 Botnet-Operation in einer gemeinsamen Aktion aufgedeckt haben. Das Botnet hatte damals über 1 Million markenfremde Android-Geräte infiziert. Dieses Botnet ist wohl eine Weiterentwicklung der BADBOX-Operation von 2023 und beinhaltet vorinstallierte Malware auf nicht zertifizierten Android-Geräten. Ich hatte im Blog-Beitrag Android-Geräte und die BadBox-Malware vor dieser Malware gewarnt, aber den Begriff BadBox 2.0 für die Weiterentwicklung nicht verwendet.
Neue FBI-Warnung vor BadBox 2.0
Nun hat das FBI zum 5. Juni 2025 eine Warnung veröffentlicht, dass mit dem Internet verbundene Heimgeräte kriminelle Aktivitäten erleichtern. IoT-Geräte werden vom BADBOX 2.0-Botnetzes gekapert, um kriminelle Aktivitäten durchzuführen.
Cyberkriminelle verschaffen sich über kompromittierte IoT-Geräte wie TV-Streaming-Geräte, digitale Projektoren, Aftermarket-Infotainment-Systeme für Fahrzeuge, digitale Bilderrahmen und andere Produkte unbefugten Zugang zu Heimnetzwerken. Die meisten der infizierten Geräte wurden in China hergestellt, heißt es in der FBI-Warnung.
Cyberkriminelle verschaffen sich unbefugten Zugang zu Heimnetzwerken, indem sie entweder das Produkt vor dem Kauf mit bösartiger Software konfigurieren oder das Gerät infizieren, wenn es erforderliche Anwendungen (mit integrierten Hintertüren) herunterlädt. Dieser Download erfolgt in der Regel während des Einrichtungsprozesses.
Sobald diese kompromittierten IoT-Geräte mit Heimnetzwerken verbunden sind, sind die infizierten Geräte anfällig dafür, Teil des BADBOX 2.0-Botnets und der Proxy-Dienste für Privatanwender zu werden, und dann für bösartige Aktivitäten genutzt zu werden. Auch das FBI weist darauf hin, dass das BADBOX 2.0-Botnet eine Weiterentwicklung der 2024 gestoppten BadBox-Malware sei.
BADBOX 2.0 kann nicht nur Geräte vor dem Kauf kompromittieren, sondern auch Geräte durch den Download bösartiger Apps von inoffiziellen Marktplätzen infizieren. Das BADBOX 2.0-Botnetz besteht aus Millionen infizierter Geräte und verfügt über zahlreiche Hintertüren zu Proxy-Diensten, die Cyberkriminelle ausnutzen, indem sie kompromittierte Heimnetzwerke für verschiedene kriminelle Aktivitäten entweder verkaufen oder kostenlos zur Verfügung stellen.
Kompromittierung erkennen
Das FBI nennt unter anderem mögliche Indikatoren, die auf BADBOX 2.0-Botnet-Aktivitäten hinweisen:
- Das Vorhandensein von verdächtigen Marktplätzen, von denen Apps bei solchen Geräten heruntergeladen werden.
- Die Deaktivierung der Google Play-Schutzeinstellungen ist erforderlich, um Android Apps zu installieren.
- Allgemeine TV-Streaming-Geräte, die als freigeschaltet oder für den Zugriff auf kostenlose Inhalte beworben werden.
- IoT-Geräte, die von unbekannten Marken beworben werden.
- Android-Geräte, die nicht Play Protect-zertifiziert sind.
- Ungeklärter oder verdächtiger Internetverkehr.
Es ist zu betonen, dass dies nur ein Hinweis auf eine mögliche Kompromittierung ist, aber nicht unbedingt eine Infektion mit dem BADBOX 2.0-Botnet hinweist. Dies kann nur durch Analyse nachgewiesen werden.
Welche Gegenmaßnahmen gibt es
Das FBI weist auf die allseits bekannten Vorsichtsmaßnahmen hin, die Verbraucher zur Minimierung des Risikos berücksichtigen sollten. Dazu werden "sich über des Risikos bewusst sein" und Überwachung des Internetverkehrs von Heimnetzwerken genannt. Wer jeden Mist auf Alibaba kauft und dann irgendwie in sein WiFi-Netzwerk hängt, erhöht die Gefahr für eine Infektion. Das FBI nennt noch folgende Maßnahmen:
- Überprüfen Sie alle IoT-Geräte, die mit Heimnetzwerken verbunden sind, auf verdächtige Aktivitäten.
- Vermeiden Sie das Herunterladen von Apps von inoffiziellen Marktplätzen, die kostenlose Streaming-Inhalte anbieten.
- Halten Sie alle Betriebssysteme, Software und Firmware auf dem neuesten Stand. Rechtzeitiges Patchen ist eine der effizientesten und kostengünstigsten Maßnahmen, um die Anfälligkeit für Cybersecurity-Bedrohungen zu minimieren
- Priorisieren Sie das Patchen von Firewall-Schwachstellen und bekannten Sicherheitslücken in Systemen, die mit dem Internet verbunden sind.
Hier kommen wir zum Kernproblem des Ganzen – so richtig die Maßnahmen aus technischer Sicht sind, wird kaum ein Verbraucher diese berücksichtigen können. Gerade Android-Geräte leiden doch häufig unter fehlenden Updates, weil die Hersteller den Support sehr früh einstellen. Und auch die Überprüfung aller Geräte im Heimnetzwerk auf verdächtige Aktivitäten wird für den Großteil der Nutzer nicht möglich sein. Der beste Ratschlag ist noch, ggf. auf NoName-Geräte zu verzichten und nicht jede Android-App aus obskuren Quellen zu installieren. (via)
Ähnliche Artikel:
Android-Geräte und die BadBox-Malware
BadBox: BSI warnt vor Malware auf IoT-Geräten
MVP: 2013 – 2016
"Die meisten der infizierten Geräte wurden in China hergestellt"
Wo wurde denn der Rest hergestellt? In Taiwan? Macht Merz jetzt mal Dampf und bringt den Multikern-Micro-Zuse (4 nm) voran?
also kurz gefasst: wer verantwortungsvoll mit seiner IT Infrastruktur umgeht bleibt verschont ;-P
Ist wie AIDS, das kriegt man nicht das holt man sich!
Keine Ahnung, was so ein dummer Vergleich soll. Es gab in der Vergangenheit mehrere Fälle verunreinigter Blutkonserven und heutzutage gibt es immer noch rücksichtslose Menschen, die ihre monogamen Partner infizieren.
Und noch dazu kann man sich ein Handy von einem namhaften Hersteller kaufen und findet auch dort Malware, also der Vergleich hinkt.
Viel interessanter wäre, gibts denn irgendein empfehlenswertes Tool, ohne Anmeldung, Werbung und Weitergabe von Daten, mit dem man sein Chinaböller scannen kann, um sich von lästiger Malware zu befreien?
Das ist Blödsinn. Hatte mir BadBox durch den Kauf eines Gebrauchtwagens mit Android-Bordsystem geholt. Da hast du keine Chance, wenn der Vorbesitzer da was aufgespielt hat.
Analyse von BadBox 2.0:
humansecurity. com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/
Ich würde ja gerne ein sicheres Smartphone kaufen, aber ich finde keins, das in die Tasche passt und einen angenehmen Preis hat: Referenzwerte: 12×6 cm², <200 €.
Das kleinste Handy laut aktuellem Netzwelt-Test: Samsung Galaxy S25, ~14,7×7,1 cm², 899 €.
Unbefriedigend.
Kennt hier eigentlich irgendwer einen Weg, wie ich das Ding feststellen soll?
Tatsächlich jemand infiziert im Freundeskreis, BSI hat ne Mail via Provider zugestellt (ja alles echt, passt), aber damit kannste ja nix anfangen weil nur externe IP.
Lokales Sniffen, oida klar is das machbar aber das kostet wieder *Stunden* Zeit *WENN* man überhaupt einen Slot erwischt wo das Ding mit nem Control-Server redet (die sind auch nur in dem einen Blogpost weit draußen im Netz erwähnt, nirgendwo sonst!!! Auch schon wieder mega nervig!!).
Ich bin einfach nur wenig motiviert für so einen Unfug n riesen Snifferaufbau anzukarren geschweige Wegzeit etc., daher mal ins Blaue gefragt.
Da der Kram lange schlafen kann lässt es sich auch nicht sinnvoll eingrenzen vom Gerät her.
Und in den zwölf Trillionen Artikeln dazu steht halt überall nur "ajo Patches, immer einspielen gä!" was einfach nur frustrierend zu lesen ist. Das disst einfach nur die Leute und ist nicht anwendbar in diesem Fall = hochnäsiges IT'ler Gesabbel.
GENAU DAS wollte ich auch gerade fragen: Ich hab nun auch viele Seiten zum Thema durch, und es ist nur Allgemeines zu finden wie Updates installieren und Stores ansehen etc. Was hilft das, wenn es z.B. ein Aldi-Switch ist (die laut Foren auch betroffen sein sollen)? Der normale Alltag ist doch, dass man einem bekannten helfen soll, aber dessen Heimnetz und Geräte man nicht kennt… Es muss doch irgendwie eine handhabbare Möglichkeit geben, das betroffene Gerät zu identifizieren?
Und sei es, dass man den kompletten Datenverkehr loggt, aber nur auf eine Zeile XYZ filtert, aber auch dafür müsste es doch wenigstens irgendwo eine Anleitung geben, wie das geht. Aber man findet – auch über einen Monat nach der obigen Meldung- NICHTS hilfreiches! Statt dessen unsachliche, arrogante, kleingeistige und menschenverachtende Kommentare wie den obigen AIDS Vergleich!
Hat hier wirklich keiner eine Idee?