Мир цифровых технологий продолжает сталкиваться с новыми угрозами, и одной из них стал ботнет BadBox 2.0, который за последние два года приобрел угрожающие масштабы, заразив более 10 миллионов устройств по всему миру. В июле 2025 года компания Google предприняла решительный шаг — она подала иск против анонимных операторов этой вредоносной инфраструктуры. Этот судебный иск направлен не просто на блокировку деятельности злоумышленников, а на полное разрушение созданного ими механизма, который наносит ущерб широкому кругу пользователей и влияет на рекламные платформы Google. Расскажем подробнее, как функционирует BadBox 2.
0, почему для Google важно остановить этот ботнет и какие шаги предпринимаются для защиты цифрового пространства. BadBox — это разновидность зловредного программного обеспечения для Android, основанного на базе кода семейства Triada. Заражение происходит не только через вредоносные приложения, которые иногда умудряются пробраться в официальные магазины вроде Google Play или сторонние маркетплейсы, но и посредством предустановки на дешевые устройства категории budget, а также через обновления прошивок и уязвимости прошивок телевизионных приставок, цифровых проекторов и планшетов. Именно этот фактор способствует тому, что ни рядовые пользователи, ни базовые меры безопасности не дают гарантии защищенности от угрозы BadBox. Часто заражённые устройства работают на Android Open Source Project (AOSP), то есть это решения не связаны с официальными сертифицированными версиями Android TV или устройствами с поддержкой Play Protect.
Производство таких гаджетов массово организовано в Китае, а в дальнейшем они распространяются по всему миру, что создает глобальный масштаб проблемы. Появление вредоносного кода на устройстве превращает его в часть ботнета — сети заражённых устройств под управлением злоумышленников. Компрометированные гаджеты используются для различной незаконной деятельности, в первую очередь направленной на проведение рекламного мошенничества. Рекламные платформы Google сталкиваются с тремя основными типами мошенничества, которое организует ботнет BadBox 2.0.
Первое — это скрытый показ рекламы через поддельные приложения-двойники, которые скрытно загружают рекламу и приносят доход злоумышленникам. Второе — запуск невидимых окон браузера на заражённых устройствах, где боты участвуют в определённых интернет-играх с рекламой, увеличивая число просмотров и генерируя доход на основе этих показов. Третье — выполнение поддельных поисковых запросов с использованием системы AdSense for Search, что также приносит доход через клики. Разоблачение деятельности BadBox началось в 2023 году, когда независимый исследователь по информационной безопасности Даниэль Милишич обнаружил на Amazon продажу Android-приставок T95 с предустановленной сложной малварью. Несмотря на попытки немецких правоохранителей в течение 2024 года частично вывести из строя ботнет, результаты оказались недостаточно эффективными — к концу года сеть снова насчитывала около 192 тысяч заражённых устройств.
Поэтому весной 2025 года была организована новая совместная операция, где вместе с Google и специалистами таких компаний, как Trend Micro и Human Security, а также некоммерческой организацией The Shadowserver Foundation удалось значительно продвинуться в противостоянии с BadBox 2.0. В результате был достигнут успех в sinkhole — процессе подмены управляющих серверов ботнета на контролируемые экспертами, благодаря чему было нарушено соединение для полумиллиона зараженных устройств. Однако даже эти усилия не смогли полностью остановить рост ботнета, паутинный охват которого сейчас исчисляется десятками миллионов гаджетов. Отдельное внимание стоит уделить тому факту, что заражаются в основном бюджетные, небрендированные и технически несертифицированные решения на базе AOSP.
Пользователи зачастую не подозревают о предустановленной угрозе, приобретая устройства из Китая, которые поступают на рынок по всему миру. Такие гаджеты не защищены механизмами Google Play Protect, что делает их уязвимыми перед вредоносным ПО. С точки зрения юриспруденции, Google предъявляет иск в США, пользуясь законами о компьютерном мошенничестве и злоупотреблениях (Computer Fraud and Abuse Act) и законодательством о рэкетерстве и коррупционных организациях (RICO). Ответчики в иске остаются анонимными, но, по утверждениям Google, все они находятся в Китае. Компания требует возмещения ущерба и постоянного судебного запрета, чтобы остановить распространение вредоносного ПО и демонтировать инфраструктуру ботнета.
Юридическая битва Google против BadBox 2.0 — это не только защита интересов корпорации как владельца рекламной экосистемы. Это масштабная борьба за безопасность цифрового пространства и доверие пользователей к техническим продуктам, которые становятся неотъемлемой частью нашей жизни. Массовое заражение IoT-устройств, планшетов и телеприставок ставит под угрозу приватность, безопасность корпоративных и домашних сетей, а также способствует развитию черного рынка интернет-мошенничества. Прошедшие события показывают, что борьба с киберпреступностью требует слаженной работы международных институтов, компаний в сфере безопасности и технологических гигантов.
Несмотря на сложность и масштаб атаки, целеустремленные усилия по выявлению уязвимостей, развертыванию технических мер и юридическому давлению способны значительно снизить влияние таких угроз. Для конечных пользователей важным остается понимание рисков, связанных с приобретением и использованием непроверенных бюджетных Android-устройств, особенно тех, которые не прошли сертификацию Google. Использование официальных каналов для загрузки приложений, регулярное обновление системы безопасности, а также внимательное отношение к подозрительной активности гаджетов помогут минимизировать риски. Ситуация вокруг ботнета BadBox 2.0 является наглядным примером того, как современные угрозы кибербезопасности могут охватывать глобальные масштабы, и какой сложной является борьба с ними.
Google показывает пример активного вмешательства, используя не только технологии, но и законодательные инструменты для защиты своих интересов и интересов миллионов пользователей по всему миру. Важно следить за развитием событий и коллективно повышать уровень цифровой гигиены, чтобы подобные угрозы не разрушали экосистему интернета и не нарушали наше право на безопасность и приватность.
