Onderzoekers hebben een botnet ontdekt dat uit één miljoen besmette Android-apparaten bestaat, waarvan het grootste deel vooraf geïnfecteerd is. Dat stelt securitybedrijf Human in een analyse. Volgens de onderzoekers zijn de apparaten, zoals goedkope Android-tablets, digitale projectors, tv-boxes en aftermarket infotainmentsystemen, besmet met een nieuwe variant van de BadBox-malware.

Eind vorig jaar ondernamen de Duitse autoriteiten nog actie tegen een BadBox-botnet. De eerste variant van BadBox zou volgens securitybedrijf BitSight 192.000 Android-apparaten hebben besmet, waaronder honderdduizend Yandex smart-tv's. Human meldt nu het bestaan van BadBox 2.0 en claimt dat deze versie op meer dan één miljoen goedkope Android-apparaten actief is. Net als de eerste BadBox-versie wordt deze versie vooraf geïnstalleerd op Android-apparaten. Waar dit precies in de supply chain gebeurt is onbekend.

Het komt ook voor dat apparaten de malware installeren als ze voor het eerst worden ingeschakeld. Een derde manier om besmet te raken is het downloaden van besmette apps via onofficiële appstores. Eenmaal actief gebruikt de malware het besmette apparaat voor het plegen van advertentie- en clickfraude en als residentiële proxy. Via dergelijke proxies voeren cybercriminelen weer allerlei andere aanvallen uit. Human heeft in de analyse verschillende apparaten genoemd die vooraf geïnfecteerd zijn.