شکایت حقوقی گوگل علیه گردانندگان BadBox 2.0؛ بیش از ۱۰ میلیون دستگاه آلوده شدند

شکایت رسمی گوگل برای توقف بات‌نت BadBox 2.0؛ بدافزاری که بیش از ۱۰ میلیون دستگاه اندرویدی را آلوده کرده است

شرکت Google شکایتی حقوقی علیه گردانندگان ناشناس بات‌نت بدافزاری BadBox 2.0 تنظیم کرده است و آن‌ها را به راه‌اندازی شبکه‌ای جهانی برای تقلب تبلیغاتی علیه پلتفرم‌های تبلیغاتی این شرکت متهم می‌کند.

ماهیت عملیات BadBox 2.0

BadBox 2.0 یک عملیات سازمان‌یافته سایبرجنایی است که با استفاده از دستگاه‌های آلوده مبتنی بر Android Open Source Project (AOSP) شامل تلویزیون‌های هوشمند، ست‌تاپ‌باکس‌ها و سایر تجهیزات متصل به اینترنت (که فاقد سازوکارهای امنیتی مانند Google Play Protect هستند) فعالیت می‌کند.

آلودگی دستگاه‌ها از دو طریق اصلی انجام می‌شود:

1. خرید دستگاه‌های AOSP ارزان‌قیمت توسط مهاجمان، دستکاری سیستم‌عامل برای تزریق بدافزار BadBox 2، و سپس فروش مجدد آن‌ها به‌صورت آنلاین
2. فریب کاربران برای دانلود و نصب اپلیکیشن‌های مخرب حاوی بدافزار بر روی دستگاه‌هایشان

پس از آلوده شدن، بدافزار به‌عنوان یک در پشتی (backdoor) عمل کرده و به سرورهای Command-and-Control (C2) متصل می‌شود تا دستورات اجرایی را دریافت کند.

دستگاه‌های آلوده در ادامه به بخشی از بات‌نت BadBox 2.0 تبدیل می‌شوند و:

• یا به‌عنوان پروکسی مسکونی (residential proxy) به دیگر مجرمان سایبری اجاره داده می‌شوند
• یا مستقیماً برای تقلب تبلیغاتی (Ad Fraud) مورد استفاده قرار می‌گیرند

محور شکایت گوگل: تقلب تبلیغاتی در مقیاس وسیع

شکایت گوگل عمدتاً بر بخش Ad Fraud این عملیات تمرکز دارد؛ بخشی که به‌طور گسترده پلتفرم‌های تبلیغاتی این شرکت را هدف قرار داده است.

این تقلب تبلیغاتی از سه روش استفاده می‌کند:

1. نمایش مخفی تبلیغات (Hidden Ad Rendering)

بدافزار با نصب بی‌صدا اپلیکیشن‌های جعلی (اصطلاحاً Evil Twin Apps) روی دستگاه، تبلیغات Google را در پس‌زمینه و بدون اطلاع کاربر در صفحات وب مهاجمان بارگذاری کرده و درآمد جعلی تولید می‌کند.

2. تقلب از طریق وب‌سایت‌های بازی

ربات‌ها مرورگرهای نامرئی را باز می‌کنند و بازی‌های طراحی‌شده را اجرا می‌کنند تا نمایش تبلیغات را تحریک کرده و برای حساب‌های تبلیغ‌دهنده درآمد جعلی تولید شود.

3. کلیک تقلبی در جستجوها (Search Ad Click Fraud)

ربات‌ها روی وب‌سایت‌های متعلق به مهاجمان جستجو انجام می‌دهند؛ این سایت‌ها از AdSense for Search استفاده می‌کنند و تبلیغات نشان‌داده‌شده در نتایج، درآمد برای مهاجم ایجاد می‌کند.

سابقه فعالیت و بازگشت BadBox

در دسامبر ۲۰۲۴، نسخه‌ی اولیه BadBox در نتیجه‌ی اقدام دولت آلمان مختل شد؛ به‌طوری‌که ارتباط میان دستگاه‌های آلوده و زیرساخت C2 از طریق sinkholing درخواست‌های DNS قطع گردید.

با این حال، مهاجمان بلافاصله نسخه‌ی BadBox 2.0 را راه‌اندازی کردند که طبق برآوردها تا آوریل ۲۰۲۵، بیش از ۱۰ میلیون دستگاه اندرویدی را آلوده کرده است. شکایت گوگل ادعا می‌کند که تنها در ایالت نیویورک، بیش از ۱۷۰٬۰۰۰ دستگاه آلوده شناسایی شده‌اند.

گوگل همچنین اعلام کرده تاکنون هزاران حساب ناشر (publisher account) مرتبط با این شبکه را مسدود کرده است، اما هشدار می‌دهد که بات‌نت همچنان فعال و در حال گسترش است:

«در صورت عدم مداخله، عملیات BadBox 2.0 همچنان گسترش خواهد یافت.»

«این شبکه با درآمدزایی از طریق این عملیات مجرمانه، منابع بیشتری برای تولید دستگاه‌ها و بدافزارهای جدید در اختیار خواهد داشت و Google ناچار است منابع مالی قابل توجهی را برای مقابله با آن هزینه کند.»

پیگیری حقوقی در سطح فدرال ایالات متحده

با توجه به ناشناس بودن متهمان و این‌که احتمال می‌رود در چین مستقر باشند، گوگل در حال پیگیری حقوقی بر اساس:

• قانون Computer Fraud and Abuse Act (CFAA)
• قانون Racketeer Influenced and Corrupt Organizations (RICO)

در متن شکایت، گوگل درخواست دریافت خسارت و صدور حکم قضایی دائمی (Permanent Injunction) برای از کار انداختن زیرساخت بدافزار و جلوگیری از گسترش بیشتر آن را مطرح کرده است.

همچنین، بیش از ۱۰۰ دامنه اینترنتی که به‌عنوان بخشی از زیرساخت این عملیات شناخته شده‌اند، در فایل ضمیمه شکایت لیست شده‌اند.