Google contro BadBox 2.0: la battaglia legale contro il malware che minaccia Android

La crescente minaccia rappresentata dalla botnet BadBox 2.0 ha spinto Google a intraprendere un’azione legale senza precedenti, nel tentativo di arginare una delle più gravi emergenze di botnet malware degli ultimi anni.

La società di Mountain View, infatti, ha annunciato ufficialmente la propria offensiva contro ignoti operatori, presumibilmente basati in Cina, responsabili di aver compromesso più di 10 milioni di dispositivi Android in tutto il mondo. L’obiettivo della botnet è quello di sfruttare questi dispositivi per alimentare una sofisticata rete di ad fraud su scala globale, mettendo a rischio l’intero ecosistema digitale.

I dispositivi AOSP

Nel dettaglio, la minaccia si concentra principalmente su dispositivi basati su AOSP (Android Open Source Project), come smart TV e streaming box, che spesso vengono considerati meno critici rispetto agli smartphone, ma risultano ugualmente vulnerabili.

Questi device, generalmente venduti online a prezzi molto bassi, vengono spesso distribuiti con malware già preinstallato, rendendo la compromissione praticamente inevitabile per gli utenti meno esperti. In altri casi, l’infezione avviene quando gli utenti scaricano applicazioni apparentemente innocue, ma in realtà contenenti codice malevolo che consente agli operatori della botnet di prendere il controllo remoto del dispositivo.

Una rete globale

Una volta che il dispositivo è diventato uno dei dispositivi infetti, entra a far parte di una rete globale orchestrata attraverso server command-and-control (C2). Questi server permettono ai cybercriminali di gestire la botnet in modo efficiente, trasformando ogni dispositivo in un nodo utile per diverse attività illecite.

Tra queste, spicca la creazione di proxy residenziali, ovvero l’utilizzo dei dispositivi compromessi come punti di accesso alla rete per altri malintenzionati, che possono così mascherare le proprie attività e rendere più difficile l’individuazione delle frodi.

Le tecniche ad fraud

Le tecniche di ad fraud adottate da BadBox 2.0 sono molteplici e sempre più sofisticate. La prima consiste nell’installazione occulta di applicazioni che caricano annunci pubblicitari invisibili all’utente finale, una pratica nota come “hidden ad rendering”.

In secondo luogo, vengono sfruttati browser nascosti per visitare automaticamente siti di giochi web truccati, con lo scopo di generare visualizzazioni pubblicitarie fasulle. Infine, la botnet si dedica al cosiddetto “search ad click fraud”, simulando ricerche e clic su annunci AdSense per gonfiare artificialmente i ricavi degli account publisher sotto il controllo della rete criminale.

La battaglia legale

Ad aprile 2025, si stima che la botnet abbia già raggiunto una diffusione impressionante, con milioni di dispositivi infettati e oltre 170.000 solo nello stato di New York. Google ha reagito prontamente, chiudendo migliaia di account publisher associati alla botnet, ma la società avverte che senza un’azione globale e coordinata, la minaccia continuerà a espandersi e a evolversi.

Per contrastare questa emergenza, Google ha avviato una causa legale basata sul Computer Fraud and Abuse Act e sul RICO Act, con l’obiettivo di ottenere sia un risarcimento economico che un’ingiunzione permanente volta a smantellare definitivamente l’infrastruttura della botnet.