Google a porté plainte en Chine contre 25 individus anonymes, les accusant d'avoir piraté plus de 10 millions d'appareils dans le monde, de les avoir utilisés pour créer un botnet appelé BadBox 2.0, puis d'avoir commis d'autres cybercrimes et fraudes.
"En avril 2025, BadBox 2.0 avait infecté plus de 10 millions de boîtiers de streaming TV, de tablettes, de projecteurs et de systèmes d'infodivertissement automobiles basés sur AOSP", indique le procès. "En fait, BadBox 2.0 est le plus grand botnet d'infection de télévision connectée découvert à ce jour, s'étendant au-delà des téléviseurs connectés pour inclure les tablettes, les projecteurs numériques et d'autres appareils", indique le procès [ PDF ].
"Ce procès nous permet de perturber davantage les opérations criminelles derrière le botnet et de couper leur capacité à commettre davantage de crimes et de fraudes", a indiqué jeudi un article de blog.
Le géant de la recherche et de la publicité a également des motivations égoïstes, puisqu'il affirme dans son dossier que BadBox "interfère avec la relation de Google avec ses utilisateurs (et utilisateurs potentiels), nuit à la réputation de Google, sape la valeur des produits et services de Google et oblige Google à consacrer des ressources importantes à l'enquête et à la lutte contre les activités nuisibles du botnet".
Étant donné que les suspects se trouvent en Chine, qui autorise rarement les extraditions vers les États-Unis, il est peu probable qu'un suspect soit tenu responsable dans le cadre d'un procès.
Google a déjà travaillé avec Trend Micro, Human Security et Shadowserver Foundation pour identifier les serveurs et domaines C2 contrôlant les appareils piratés.
Ainsi, en supposant que le tribunal soit du côté de Google, ce procès permettra au géant de la technologie d'engloutir ces domaines C2, perturbant ainsi davantage les opérations de BadBox 2.0.
BadBox a fait son apparition fin 2022, lorsque des attaquants ont utilisé une porte dérobée pour infecter environ 74 000 appareils TV connectés Android hors marque. Les chercheurs Satori de Human Security ont réussi à perturber la campagne de BadBox en supprimant son infrastructure de fraude publicitaire et ses serveurs C2.
Cependant, plus tôt cette année, l'équipe Satori a tiré la sonnette d'alarme concernant BadBox 2.0. Human Security s'est une fois de plus associé à des entreprises privées et aux forces de l'ordre pour perturber partiellement son infrastructure.
Mais même après ses efforts pour supprimer BadBox 2.0, le FBI a publié un message d'intérêt public avertissant les consommateurs que les cybercriminels continuent d'exploiter les appareils Android, ce qui signifie que le botnet continue de se développer.
Il en va de même pour l'infrastructure proxy résidentielle de BadBox, qui permet aux attaquants de masquer le trafic réseau malveillant en utilisant de véritables adresses IP attribuées aux utilisateurs résidentiels. Les acteurs malveillants utilisent ensuite cet accès pour lancer des attaques par déni de service distribué (DDoS) et d'autres attaques à partir de l'appareil compromis, ou pour vendre l'accès à l'adresse IP de l'appareil à d'autres acteurs malveillants. Selon Human Security, les utilisateurs de box infectées réalisent rarement que leur téléviseur connecté fait désormais partie d’un botnet.
Le magasin de sécurité a déjà documenté des piratages de comptes, des créations de faux comptes, des vols d'identifiants, des fuites d'informations sensibles et des attaques DDoS menées par des criminels en aval qui ont acheté des services proxy résidentiels auprès des opérateurs BadBox.
De plus, comme l'a déclaré plus tôt Gavin Reid, responsable de la sécurité de l'information de Human Security : "Nous prévoyons qu'ils lanceront également Badbox 3."
Le procès détaille comment BadBox – que Google appelle « BadBox 2.0 Enterprise » – se compose de plusieurs équipes différentes chargées de concevoir et d'exécuter diverses parties de l'opération pour les appareils connectés à Internet, avant et après que les consommateurs reçoivent les appareils.
Premièrement, le groupe Infrastructure développe et gère les principaux serveurs et domaines C2 de BadBox 2.0. Le procès répertorie tous les noms de domaine connus utilisés par l’entreprise.
Il existe également un « groupe de logiciels malveillants de porte dérobée » chargé de préinstaller des portes dérobées dans les robots qui exploitent des parties du botnet et vendent l'accès aux dispositifs proxy utilisés pour la fraude publicitaire et d'autres stratagèmes lucratifs.
L'entreprise dispose également d'équipes qui gèrent l'infrastructure secondaire, les logiciels malveillants spécifiques à un scénario, ainsi que les applications et sites Web spécifiques à un scénario utilisés sur les appareils infectés. Cela inclut les domaines et les serveurs C2 utilisés pour exécuter des packages malveillants et monétiser l'espace publicitaire.
"Les organisations de ce secteur d'entreprise exploitent divers logiciels malveillants pour mener des opérations frauduleuses, telles que la fourniture d'un accès proxy en aval aux appareils infectés ou la fraude publicitaire", indique le procès, nommant deux groupes de menaces derrière cette infrastructure secondaire.
Il existe également un groupe « Evil Twin » spécialisé dans le développement d'applications pour les campagnes de fraude publicitaire, utilisant les applications « Evil Twin » (copies malveillantes d'applications légitimes vendues sur le Google Play Store) pour inciter les utilisateurs à télécharger des copies malveillantes et à générer des publicités. Ces applications lancent également des navigateurs Web cachés qui chargent des publicités cachées.
De plus, le groupe Advergame a été lié à un système de navigateur Web caché mis en œuvre via des appareils infectés qui utilisait des « jeux » trompeurs pour générer des publicités.
Selon le procès, tous ces différents groupes d'acteurs menaçants sont connectés via une infrastructure partagée et « des relations commerciales historiques et actuelles ». Le procès continue :
Les entreprises travaillent ensemble pour mettre en œuvre les initiatives BadBox 2.0 ; aucune initiative ne peut générer des revenus sans la participation et la coordination de plusieurs membres. Les entreprises ont construit un écosystème de serveurs C2 centralisés, développé, exploité et vendu des portes dérobées permettant d'accéder à des appareils individuels, connecté ces appareils à des serveurs C2 centralisés et utilisé ces portes dérobées pour attaquer l'écosystème de la publicité numérique sous plusieurs angles.
Interrogé sur le procès, le PDG de Human Security a salué l'action de Google : « Cette répression marque une étape importante dans notre lutte continue contre la fraude sophistiquée qui détourne les appareils, vole de l'argent et exploite les consommateurs à leur insu. Nous sommes honorés d'être profondément impliqués dans cette opération et de travailler en étroite collaboration avec Google, Trend Micro et la Shadowserver Foundation. Leur collaboration a été inestimable pour nous aider à exposer et neutraliser cette menace.