谷歌起诉BadBox 2.0僵尸网络操控者，涉及超千万感染设备

谷歌已对BadBox 2.0的操作者提起诉讼，该僵尸网络被确认为最大的互联网连接电视和其他设备组成的僵尸网络。

这一僵尸网络是通过与网络安全公司HUMAN Security和趋势科技的合作努力发现的，已感染超过1000万台运行Android开源项目（AOSP）的未认证设备。

与经过认证、配备谷歌专有安全层的Android系统不同，基于AOSP的设备由于其开源性质特别脆弱，缺乏内置保护，如验证启动和Google Play Protect的实时扫描功能。

犯罪者通过在制造过程中嵌入持久性恶意软件来利用这一漏洞，将这些设备转变为无意中成为庞大网络中的节点，用于复杂的广告欺诈计划和其他非法活动。

大规模基于Android的僵尸网络

BadBox 2.0操作代表了其前身的进化，利用预装的rootkit和命令与控制（C2）服务器来协调分布式拒绝服务（DDoS）攻击、代理流量匿名化以及程序化广告竞价操纵。

谷歌的广告流量质量团队采用先进的机器学习算法来检测广告生态系统中的异常，首先标记了来自这些受感染端点的流量中的不规则模式。

这些模式包括夸大的点击率和伪造的展示次数，网络犯罪分子通过欺诈性广告网络将这些变现。

作为回应，谷歌迅速更新了其Google Play Protect服务——一个多层防御机制，集成了设备上扫描、基于云的威胁情报和行为分析，以自动隔离和阻止与BadBox相关的应用程序。

这一主动措施不仅减轻了用户的即时风险，还破坏了僵尸网络通过侧载APK或空中更新传播更多恶意软件的能力。

基于先前对原始BadBox基础设施部分的中断，谷歌在纽约联邦法院提起的诉讼旨在 dismantle 整个犯罪企业。

该法律行动援引了《计算机欺诈和滥用法》（CFAA）、《受敲诈勒索者影响和腐败组织法》（RICO）法规以及知识产权侵权，旨在查封与操作者相关的域名、服务器和金融资产。

通过针对僵尸网络背后的人员——据信是一个在多个司法管辖区运作的复杂集团——该诉讼旨在切断来自广告欺诈的收入流，估计每年产生数百万非法利润。

这一司法策略补充了技术对策，确保在物联网（IoT）领域对类似威胁的长期威慑，其中未认证的智能设备在没有标准化安全协议的情况下激增。

联邦调查局（FBI）通过发布公共警报来放大这些努力，详细说明了僵尸网络的战术、技术和程序（TTPs），包括在加密通道上使用混淆的C2通信。

谷歌与FBI的持续协调强调了一种多方面的全球网络安全方法，通过如联合网络防御协作（JCDC）等平台强调信息共享。

随着未认证的Android设备继续涌入市场，特别是在新兴经济体，此案凸显了增强供应链完整性、强制性安全认证和国际合作以打击不断演变的恶意软件生态系统的关键需求。

虽然谷歌的干预措施保护了其生态系统，但该诉讼将这家科技巨头定位为追究网络犯罪分子责任的先锋，可能为数字领域的未来起诉设定先例。