Torna a far parlare di sé, e ovviamente non in senso positivo, il malware BadBox, una minaccia insidiosa e tutt’altro che nuova che oggi si riaffaccia con forza sulle cronache di sicurezza informatica dopo un allarme lanciato direttamente dall’FBI.
Secondo l’agenzia federale statunitense milioni di dispositivi Android a basso costo, inclusi TV box, dispositivi per lo streaming, prodotti per l’infotainment automobilistico e proiettori smart, sono attualmente compromessi e vengono sfruttati come piattaforme criminali all’interno delle reti domestiche.
Il malware BadBox torna alla ribalta
Per comprendere la gravità della situazione attuale è necessario fare un passo indietro, BadBox affonda le proprie origini in Triada, un malware estremamente sofisticato scoperto nel 2016 da Kaspersky Lab e definito già all’epoca uno dei trojan per dispositivi mobili più avanzati mai incontrati.
La sua pericolosità risiedeva nella capacità di ottenere privilegi di root tramite exploit, bypassare le protezioni native di Android e intervenire persino sul processo Zygote, cuore pulsante del sistema operativo di Google.
Sebbene Google fosse intervenuta in più riprese per neutralizzare Triada, aggiornando Android per contrastare i metodi d’infezione, la minaccia è tornata ciclicamente; già nel 2019 era emerso un inquietante scenario, dispositivi venduti al pubblico con il malware preinstallato, frutto di veri e propri attacchi alla catena di approvvigionamento.
Nel 2024 la società di sicurezza Human Security aveva lanciato l’allarme su BadBox, una backdoor derivata da Triada e preinstallata su decine di migliaia di dispositivi Android di produzione cinese; questi dispositivi, per lo più economici e destinati al mercato globale, venivano utilizzati come nodi di una rete criminale con finalità che andavano dalla frode pubblicitaria alla creazione automatizzata di account falsi su Gmail e WhatsApp, passando per l’utilizzo dei dispositivi come proxy residenziali e per l’infezione di altri device collegati alla rete domestica.
A marzo 2025 Google, insieme a un consorzio di organizzazioni attive nel mondo della sicurezza internet, aveva preso parte a un’azione coordinata per bloccare BadBox 2.0, una nuova ondata di infezioni che aveva colpito oltre un milione di dispositivi Android non certificati, basati sull’Android Open Source Project; questi dispositivi non erano protetti dal programma di sicurezza Google Play Protect, circostanza che li rendeva facili bersagli.
Nonostante l’intervento però, la minaccia persiste, l’FBI ha confermato proprio in queste ore che BadBox è ancora attivo e continua a compromettere milioni di dispositivi in tutto il mondo.
Il messaggio dell’agenzia, contenuto in un annuncio di servizio pubblicato giovedì, è piuttosto chiaro: i consumatori devono valutare attentamente i dispositivi IoT presenti nelle proprie abitazioni, prestando attenzione a eventuali segnali di compromissione e, se necessario, disconnettere tali dispositivi dalla rete.
Ma quali sono i segnali a cui fare attenzione? Purtroppo non sono molti quelli che possono essere colti a occhio nudo da un utente comune, l’FBI cita in particolare connessioni automatiche a market di app non ufficiali o sospetti, e richieste insolite di disattivazione di Play Protect.
La raccomandazione è di verificare se si possiede uno dei dispositivi segnalati da Human Security (l’immagine qui sotto) e compromessi da BadBox, in caso affermativo procedere alla sua sostituzione; viene inoltre suggerita massima cautela nell’acquisto di dispositivi a basso costo, soprattutto se provenienti da brand sconosciuti o da rivenditori non verificati.
Ancora una volta la vicenda mette in evidenza quanto sia importante scegliere dispositivi Android certificati, protetti dal programma Google Play Protect e aggiornati regolarmente; il risparmio iniziale sull’acquisto di un prodotto economico può facilmente trasformarsi in un rischio concreto per la privacy, la sicurezza della rete domestica e la propria identità digitale a causa di BadBox e compagnia.
L’auspicio è che il messaggio dell’FBI e le iniziative intraprese da Google possano arginare una minaccia che, come la storia ci ha già dimostrato, è in grado di evolversi rapidamente nel tempo.
- Il malware BadBox è ancora vivo e ha infettato quasi 200.000 dispositivi Android
- Questo malware Android inserisce contatti falsi in rubrica fingendosi la vostra banca
- Disinstallate queste app dai vostri dispositivi Android, contengono un malware
- Un insidioso malware è preinstallato su dispositivi Android contraffatti