Ein noch aggressiverer Nachfolger der Malware BadBox ist im Umlauf. BadBox 2.0 ist auf vielen Android-basierten IoT-Geräten vorinstalliert. Das FBI warnt davor, dass Cyberkriminelle ein Botnetz aufgebaut haben und sich über die Geräte unbefugten Zugriff auf Netzwerke verschaffen.
Mit BadBox 2.0 haben Cyberkriminelle eine neue Taktik entwickelt, um sich Zugriff auf sensible Daten zu verschaffen: über Backdoors, die sie in Smartphones ohne Googles Sicherheitsfunktion Play Protect schmuggeln. So konnten sie sich mittlerweile ein Botnet aufbauen.
(Bild: Dall-E / KI-generiert)
Das Threat Intelligence and Research-Team des Herstellers Human Security, der sich auf Fraud Protection spezialisiert hat, teilte im März mit, eine weitreichende Betrugskampagne aufgedeckt zu haben. Gemeinsam mit Google, Trend Micro, Shadowserver und weiteren Partnern habe Human eine Weiterentwicklung der Malware „BadBox“ entdecken und teilweise stoppen können. Bereits im Herbst 2023 trieb die Malware ihr Unwesen, die sich auf Android-Geräten wie Fernsehern, Smartphones und Tablets fokussierte und ihren Ursprung in China hat. Cyberkriminelle installierten sie auf Geräten unbekannter Hersteller vor der Auslieferung an die Endkunden, sodass diese vom Vorhandensein des Schadprogramms nichts wussten. Human habe bereits mehr 74.000 Android-basierte Geräte beobachtet, die Anzeichen einer BadBox-Infektion aufwiesen.
Mittlerweile scheinen so viele Geräte mit BadBox 2.0 infiziert zu sein, dass die Akteure daraus ein Botnetz erstellen konnten. Denn davor warnte jüngst das FBI: Cyberkriminelle nutzen IoT-Geräte für ihre illegalen Aktivitäten über das BadBox-2.0-Botnetz aus. Über kompromittierte Geräte wie Streaming-TVs, digitale Projektoren, Fahrzeug-Infotainmentsysteme und digitale Bilderrahmen verschaffen sie sich unbemerkt Zugriff auf das Heimnetzwerk ihrer Opfer. Die meisten infizierten Geräte kommen nach wie vor aus China. Entweder werden die Produkte schon vor dem Kauf mit der Malware versehen oder die betroffenen Geräte installieren beim Herunterladen erforderlicher Anwendungen eine Backdoor für die Angreifer. Sobald das Schadprogramm installiert ist, können die IoT-Geräte Teil des Botnetzes werden und für böswillige Aktivitäten ausgenutzt werden.
Das FBI ruft Verbraucher dazu auf, ihre internetfähigen Produkte auf Anzeichen einer Kompromittierung zu überprüfen und verdächtige Geräte vom Netzwerk zu trennen. Dafür hat die Behörde folgende Indikatoren veröffentlicht, denen gegenüber Nutzer skeptisch sein sollten:
Auf dem Gerät sind verdächtige Marktplätze vorhanden, über die Apps heruntergeladen werden sollen
Das Gerät fordert Sie auf, die Protect-Einstellungen von Google Play zu deaktivieren
TV-Streaming-Geräte werden als bereits entsperrt oder mit Zugriff auf kostenlose Inhalte beworben
IoT-Geräte unbekannter Marken
Android-Geräte ohne Play Protect-Zertifizierung
Unerklärlicher oder verdächtiger Internetverkehr
Was ist BadBox 2.0?
Mit BadBox 2.0 identifizierte Human gemeinsam mit seinen Partnern die nächste Generation der Malware BadBox, vor der bereits das BSI warnte. Diese sei noch umfassender und hinterhältiger. Derzeit seien mindestens eine Million TV-Streaming-Boxen, Tablets, Projektoren und Infotainment-Systeme für Autos, die auf Android laufen, mit BadBox 2.0 infiziert.
Über Hintertüren in Verbrauchergeräten laden die Cyberkriminellen Schadsoftware aus der Ferne. Die verseuchten Geräte kommunizieren dann mit Command-and-Control-Servern (C2), die von den Akteuren betrieben werden, und ermöglichen die Installation der Malware. Einige der Geräte werden jedoch schon während des Herstellungsprozesses mit einer Backdoor versehen. Davon betroffen sind meist kostengünstige Android-Produkte, die nicht über den integrierten Sicherheitsdienst Google Play Protect verfügen, und somit seltener Sicherheitsupdates erhalten und nicht aktiv von Google auf Malware überprüft werden. Die Malware wird in die Firmware integriert, sodass sie bereits beim ersten Einschalten des Geräts aktiviert wird. Ein weiterer Verbreitungsweg von BadBox 2.0 ist Human zufolge die Bereitstellung infizierter Apps auf digitalen Marktplätzen. Unwissende Nutzer laden eine App herunter, die dann wiederum die Malware auf ihrem Gerät installiert.
Infizierte Geräte können Teil eines Botnetzes werden und dienen dann als Proxy für die Angreifer. Über die Internetverbindung ihrer Opfer führen die Kriminellen dann Cyberangriffe durch wie:
Die Play-Protect-Zertifizierung von Google erhalten Geräte, die bestimmte Anforderungen erfüllen. Sowohl die Hardware wie auch die Software müssen dafür den Sicherheitsstandards von Google entsprechen. Diese Zertifizierung wird während des Herstellungsprozesses erteilt und nur solche Geräte erhalten den vollen Zugriff auf Google-Dienste und sind durch Play Protect geschützt. Deshalb ist es ratsam, schon beim Kauf eines Gerätes auf die vorhandenen Zertifizierungen zu achten. Sie können den Zertifizierungsstatus direkt auf Ihrem Geräts überprüfen:
1. Öffnen Sie die Google-App „Play Store“.
2. Klicken Sie auf „Einstellungen“.
3. Unter „Info“ können Sie den Play-Protect-Zertifizierungsstatus einsehen.
BadBox 2.0 betrifft laut Human in der Regel preisgünstige Android-Geräte, wie TV-Boxen, Tablets und Projektoren, die nicht von Google zertifiziert sind und von weniger bekannten Herstellern stammen. Sofern Sie ein solches Gerät besitzen und ungewöhnliches Verhalten feststellen, wie einen plötzlichen Neustart oder den Verbrauch von ungewöhnlich viel Datenvolumen, könnte es sein, dass Sie von der Malware betroffen sind. In manchen Fällen kann es helfen, das Gerät auf die Werkseinstellungen zurückzusetzen. Funktioniert dies nicht, kann eine vollständige Neuinstallation der Firmware erforderlich sein, um BadBox zu entfernen. Doch selbst dann gibt es keine Garantie, dass die Malware vollständig gelöscht ist.
Das FBI gibt weitere Tipps an die Hand, um sich vor BadBox 2.0 zu schützen:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Achten Sie auf den Internetverkehr von Heimnetzwerken und überwachen Sie ihn.
Überprüfen Sie alle mit Heimnetzwerken verbundenen IoT-Geräte auf verdächtige Aktivitäten.
Vermeiden Sie den Download von Apps von inoffiziellen Marktplätzen, die kostenlose Streaming-Inhalte anbieten.
Halten Sie alle Betriebssysteme, Software und Firmware auf dem neuesten Stand. Rechtzeitiges Patchen ist eine der effizientesten Maßnahmen, um das Risiko von Cybersicherheitsbedrohungen zu minimieren. Priorisieren Sie das Patchen von Firewall-Schwachstellen und bekannten, ausgenutzten Schwachstellen in internetbasierten Systemen.
Human und Google arbeiten anch wie vor an einer Lösung, um die Infrastruktur hinter BadBox 2.0 zu stören. Darüber hinaus hat Google Maßnahmen ergriffen, um Publisher-Konten, die mit BadBox in Verbindung stehen, aus seinem Anzeigen-Ökosystem auszusperren. Und der Google-Dienst Play Protect warnt Nutzer automatisch und blockiert Apps, von denen bekannt ist, dass sie Anzeichen für BadBox aufweisen, wenn sie auf Android-Geräten, die über Play Protect verfügen, installiert werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/8d/12/8d124f0d7af4dc2d1d7be1a3db4363fa/0122186570v1.jpeg "Auf Geräten mit veralteter Firmware befürchtet das BSI vorinstallierte Malware. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/66/7066cb3343001da43e66677c5cdc664e/0123502787v2.jpeg "Versteckte Funktionen in den ESP32-Chips sorgten für Aufregung: Es wurde befürchtet Cyberangreifer könnten mithilfe einer Backdoor Millionen IoT-Geräte weltweit manipulieren. (©beebright- stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/0f/0f0f73332f08753f5688b53fa3de103c/0124942774v2.jpeg "Neben 2.300 Domains, die beschlagnahmt wurden, leitete Microsoft rund 1.300 Domains, die zur Lumma-Infrstruktur gehören, in sogenannte Sinkholes um. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/65/a865e4df4f561ff9c34094e328751cee/0122620318v2.jpeg "Mirai ist eine Schadsoftware, die auf schlecht abgesicherte IoT-Geräte abzielt. (©beebright - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/09/1709ec0b505ced2cd7c00ad2c82b6c71/0122817340v2.jpeg "Microsoft Defender Privacy Protection verschlüsselt den Internetverkehr und verschleiert die IP-Adresse des Nutzers, um die Privatsphäre zu schützen. Microsoft schaltet das Feature zum 28. Februar 2025 ab. (Bild: rufous - stock.adobe.com)")