Aunque es probable que no hayas escuchado demasiado sobre él, en Android existe un malware que lleva varios años causando estragos silenciosamente: BadBox, un software malicioso que ha infectado al menos a diez millones de dispositivos en el mundo, creando una de las botnet más grande de las que se tenga registro.
Google logró parchearlo con ayuda de otras empresas de ciberseguridad, reduciendo así su peligrosidad y capacidad de transmisión. Sin embargo, la compañía decidió ir más allá para intentar dar una lección a sus creadores. Así es, Google ha demandado a los hackers chinos responsables del virus BadBox y pagarán un precio muy alto cuando sean capturados.
Para Google, la única forma de detener a BadBox es ir con todo, porque hay hasta empresas involucradas
Como mencionamos arriba, la botnet de BadBox es una de las más grandes que se han registrado en los últimos años y es un problema que todavía no está controlado. Sí, hay acciones que han ayudado a contenerla, pero va más allá de eso.
De hecho, la propia Google advirtió que «si no se desmantela el esquema BadBox 2.0, seguirá proliferando, (…), produciendo nuevos dispositivos y malware para impulsar su actividad delictiva».
Por esto y más, Google ha decidido demandar a los creadores chinos de BadBox, aunque no tienen certeza absoluta de su identidad. La demanda fue introducida esta semana en la corte federal del estado de New York, en Estados Unidos, amparándose en la Ley de Fraude y Abuso Informático, así como la Ley de Organizaciones Corruptas e Influenciadas por el Crimen Organizado.
No se conocen todos los detalles sobre la demanda, pero se sabe que Google estaría pidiendo una indemnización por daños y perjuicios. También solicitaron orden judicial de captura para los involucrados, con el objetivo de desmantelar la infraestructura detrás de BadBox.
Y si te preguntas «¿cómo es que la demanda puede avanzar y ser efectiva si no se conoce la identidad de los implicados?«. La verdad es que es bastante simple, porque sí que hay algunos indicios. Google, de la mano con Human Security, Trend Micro y otras compañías de ciberseguridad, han logrado determinar lo siguiente:
- Los responsables están ubicados en China, ya que de ahí vienen los dispositivos infectados que han sido identificados.
- Los dispositivos infectados son fabricados y/o distribuidos por cuatro grupos empresariales, concretamente: SalesTracker Group, MoYu Group, Lemon Group y LongTV.
- Todos los grupos involucrados guardan alguna relación con los dominios C2 de la botnet o con los portales de apuestas usados en la estructura delictiva.
Por consiguiente, todo apunta a que los cuatro grupos antes mencionados están activamente involucrados en el esquema de BadBox y no son víctimas del mismo. Pero a todas estas, ¿qué hace tan peligroso a este malware?
¿Qué es BadBox y por qué es tan peligroso? Un poco de contexto
Hacia finales de 2023 se descubrió que desde China se estaban distribuyendo dispositivos con Android que venían infectados con el troyano BadBox. Eso, o que se infectaban durante su configuración inicial al descargar apps maliciosas en segundo plano sin que el usuario lo supiese.
Se tiene registro de tablets, móviles, Smart TV, TV Boxes, proyectores, sistemas de infoentretenimiento para el coche, marcos fotográficos digitales y otros dispositivos más con Android, pero todos tenían algunas cosas en común:
- Precios bajísimos que los hacían muy atractivos para los consumidores y, por tanto, les convertía en presas fáciles.
- Ninguno tenía certificación Google Play Protect, así que no pasaban por los numerosos filtros de seguridad que ello implica.
La distribución de BadBox a través de este método alcanzó a más de un millón de dispositivos en 222 países o territorios del mundo, según registros de Human Security. Sin embargo, el lanzamiento de BadBox 2.0 llevó a que la nueva botnet supere los diez millones de dispositivos infectados para abril de 2025, una cifra gigantesca. ¿El objetivo de este malware? Varios, algunos de ellos más graves que otros:
- Fraude publicitario: cobrando la visualización de anuncios en Google Ads y otras plataformas en webs y juegos de los creadores.
- Fraude de clics: ejecutando scripts en segundo plano para cobrar en plataformas que pagan por hacer clic en anuncios.
- Servicios de proxies residenciales: para coordinar ataques DDoS, distribuir malware, crear cuentas falsas o robar credenciales.
- Controlar los dispositivos infectados: para instalar otros software maliciosos o robar datos sensibles de ellos.
Todo esto es posible gracias a que BadBox es un troyano que conecta a los dispositivos vulnerados a servidores de comando y control (Command-and-control, C2, en inglés), dejándolos a merced de los hackers que los operan.
La botnet original de BadBox ya ha sido totalmente desmantelada, desde diciembre de 2024. Además, Google Play Protect bloquea cualquier app que lleve su código malicioso, lo mismo con el de BadBox 2.0. No obstante, BadBox 2.0 no ha sido totalmente controlado y sigue causando estragos, de ahí que Google haya decidido actuar con más fuerza.
¿Lograrán detener el crecimiento de esta botnet y capturar a los implicados? Esperemos que sí, por el bien de todos. No obstante, que este caso también te quede como ejemplo de lo siguiente: que no todo lo que brilla es oro y que si algo parece demasiado bueno para ser real, probablemente esconde algo.
La entrada Google contra el malware BadBox: la compañía hará todo lo necesario para acabarlo se publicó primero en Androidphoria.
