谷歌对抗BadBox 2.0：针对全球最大安卓僵尸网络发起法律行动

最近，谷歌研究人员与 HUMAN Security 和趋势科技合作，发现了 BadBox 2.0，这是目前已知最大的影响连接互联网的安卓设备的僵尸网络。为继续打击网络犯罪分子的努力，谷歌在纽约联邦法院对该僵尸网络的组织者提起了诉讼。

该公司还宣布与 FBI 合作打击非法活动。在谷歌于 6 月提起诉讼之前，FBI 就已开始努力消除 BadBox 2.0。通过共同努力，这些组织旨在加强对全球消费者和企业的保护。

谷歌报告称有 1000 万台设备被感染

根据谷歌官方网站上的一份声明，BadBox 2.0 僵尸网络感染了超过 1000 万台运行开源安卓软件（Android 开源项目）的未认证设备。网络犯罪分子分发预装的恶意软件并将其用于数字犯罪。

僵尸网络是由单一方控制的、被恶意软件感染的计算机或互联网连接设备网络。在这种情况下，它在设备后台运行，模仿真实用户的行为。根据 CPA.RIP 网站，该僵尸网络执行以下操作：

• 通过假应用暗中下载后台广告；
• 暗中启动赌博网站；
• 模拟点击广告。

参与网络犯罪网络的设备绕过了谷歌的标准安全检查，因为它们未在 Google Play 上获得认证。

谷歌的广告流量质量团队发现了这一威胁并采取了行动。该公司更新了内置于 Android 的恶意软件保护系统 Google Play Protect。在其帮助下，与 BadBox 相关的应用将被自动屏蔽。

"虽然这些措施确保了用户和合作伙伴的安全，但这起诉讼通过防止攻击者实施新的犯罪和欺诈，进一步削弱了僵尸网络背后的犯罪活动，"谷歌表示。

BadBox 恶意软件的实施方法

根据 7 月 17 日在纽约联邦法院提交的诉讼，来自中国的 25 名匿名个人据称使用了 BadBox 2.0 僵尸网络。除了智能手机外，他们还感染了电视、机顶盒和其他基于 AOSP 的设备。犯罪分子在通过市场销售的设备制造阶段以及从第三方来源安装应用程序时部署软件。

BadBox 2.0 僵尸网络是 BadBox 的升级版，后者在 2024 年被德国执法部门取缔。2023 年发现的第一个 BadBox 活动同样渗透了 Android 操作系统。当时，德国成功阻断了该网络的域名和控制基础设施，但中国设法恢复了它。

如今，对网络犯罪分子的法律行动不仅因防止犯罪而合理化，还因保护 Android 生态系统的形象而合理化。

这不是谷歌第一次遇到此类网络攻击。2021 年，该公司消灭了当时最大的僵尸网络 Glupteba，该网络影响了约 100 万台 Windows 电脑。

Glupteba – BadBox 的前身

据 Engadget 报道，2021 年 12 月，谷歌关闭了一个被 Glupteba 恶意软件感染的大型计算机网络。当时，团队追踪到了俄罗斯的 Glupteba 组织者。该公司起诉他们，希望树立一个先例，为僵尸网络运营商创造法律和责任风险，以防止未来发生类似活动。

据该公司称，该网络每天扩展约 1,000 台设备。Glupteba 运营商使用恶意软件窃取个人数据、挖掘加密货币和重定向流量。据《华盛顿邮报》报道，黑客还利用谷歌自己的一些服务分发恶意软件。

为了阻止用于组织僵尸网络的 1,000 多个账户，谷歌与互联网基础设施提供商协调行动。使用区块链技术来保护犯罪网络免于被完全关闭使操作变得复杂。

"不幸的是，使用区块链技术作为确保容错的机制值得关注，并且正在成为越来越常见的做法，"谷歌当时表示。

本文最初于 2025 年 7 月 28 日以俄语发布。