德国联邦信息安全办公室 (BSI) 破坏了该国销售的 30000 多台 Android IoT 设备中预装的 BadBox 恶意软件操作。受影响的设备类型包括数码相框、媒体播放器和流媒体，以及智能手机和平板电脑。

BadBox 是一种 Android 恶意软件，预装在联网设备的固件中，用于窃取数据、安装其他恶意软件或让威胁者远程访问设备所在的网络。

当受感染的设备首次连接到互联网时，恶意软件将尝试联系威胁者运行的远程命令和控制服务器。该远程服务器将告诉 BadBox 恶意软件应在设备上运行哪些恶意服务，并且还将接收从网络窃取的数据。 

BSI 表示，该恶意软件可以窃取双因素身份验证代码、安装更多恶意软件，并创建电子邮件和消息传递平台帐户来传播虚假新闻。它还可以通过在后台加载和点击广告来进行广告欺诈，为欺诈团伙创造收入。

最后，BadBox 可以设置为代理，允许其他人使用该设备的互联网带宽和硬件来路由自己的流量。这种策略被称为住宅代理，通常涉及涉及用户 IP 地址的非法操作。

德国网络安全机构表示，它通过沉入 DNS 查询来阻止 BadBox 恶意软件设备与其命令和控制 (C2) 基础设施之间的通信，以便恶意软件与警方控制的服务器而不是攻击者的命令和控制服务器进行通信。

Sinkholing 可防止恶意软件向攻击者发送窃取的数据并接收在受感染设备上执行的新命令，从而有效防止恶意软件发挥作用。

BSI 的声明中写道：“BSI 目前正在将受影响设备的通信重定向到犯罪者的控制服务器，作为根据 BSI 法案 (BSIG) 第 7c 条采取的陷坑措施的一部分。这会影响拥有超过 100,000 名客户的提供商。只要 BSI 继续采取措施，这些设备就不存在严重危险。

通知受感染的设备用户

受此操作影响的设备所有者将由其互联网服务提供商根据其 IP 地址收到通知，任何收到通知的人都应立即将该设备与网络断开连接或停止使用。

由于恶意软件预装了固件，因此不应信任设备制造商的其他固件，并且应退回或丢弃该设备。BSI 指出，所有受影响的设备都运行过时的 Android 版本和旧固件，即使它们受到 BadBox 的保护，只要它们暴露在网上，它们仍然容易受到其他僵尸网络恶意软件的攻击。

值得一提的是，由于 Android IoT 制造商和设备迭代的巨大差异，该国很可能存在更多被 BadBox 或类似恶意软件感染的设备，但 BSI 这次无法具体确定。

这可能包括智能手机和平板电脑、智能扬声器、安全摄像头、智能电视、流媒体盒以及各种联网设备，这些设备遵循从制造到转售网络的模糊路线。用户的设备被僵尸网络恶意软件感染的迹象包括看似闲置时过热、随机性能下降、意外设置更改、非典型活动以及与未知外部服务器的连接。

为了降低过时的 Android IoT 的风险，请安装来自值得信赖的供应商的固件映像，关闭不必要的连接功能，并使设备与关键网络隔离。一般来说，建议用户仅从信誉良好的制造商购买智能设备，并寻找提供长期安全支持的产品。 

随后，Google 发送声明表示这些被发现受到感染的非品牌设备并非经过 Play Protect 认证的 Android 设备。如果设备未经过 Play Protect 认证，Google 就没有安全性和兼容性测试结果的记录。

参考及来源：https://www.bleepingcomputer.com/news/security/germany-blocks-badbox-malware-loaded-on-30-000-android-devices/