في يوم الخميس، كشفت شركة جوجل عن رفعها دعوى قضائية في المحكمة الفيدرالية بولاية نيويورك ضد 25 جهة أو شخصًا غير معروفين مقيمين في الصين، بتهمة تشغيل شبكة الروبوتات BADBOX 2.0 وبنية الوكلاء السكنية (residential proxy) الداعمة لها.
وذكرت الشركة أن BADBOX 2.0 قامت باختراق أكثر من 10 ملايين جهاز غير معتمد يعمل بنظام أندرويد مفتوح المصدر (Android Open Source Project)، وهو النظام الذي لا يحتوي على الحماية الأمنية المدمجة من جوجل.
“قام مجرمو الإنترنت بتثبيت برمجيات خبيثة مسبقًا على هذه الأجهزة، واستغلوها لشن عمليات احتيال إعلاني على نطاق واسع وارتكاب جرائم رقمية أخرى”، أوضحت الشركة.
وأكدت جوجل أنها سارعت إلى تحديث Google Play Protect، وهو نظام الحماية المدمج في أندرويد، لحظر التطبيقات المتعلقة بشبكة BADBOX تلقائيًا.
خلفية التهديد: من أجهزة الـIoT إلى التطبيقات الخبيثة
يأتي هذا التطور بعد أكثر من شهر من تحذير مكتب التحقيقات الفيدرالي (FBI) من خطر BADBOX 2.0.
وظهرت BADBOX لأول مرة في أواخر عام 2022، وعُرفت بانتشارها من خلال أجهزة إنترنت الأشياء مثل:
-
أجهزة البث التلفزيوني (TV Boxes)
-
أجهزة العرض الرقمية (Projectors)
-
أنظمة ترفيه السيارات
-
إطارات الصور الرقمية
وقد أوضح مكتب التحقيقات أن المهاجمين يقومون إما بتضمين البرمجيات الخبيثة في الجهاز قبل بيعه، أو إصابته خلال عملية الإعداد عبر تطبيقات تحتوي على “أبواب خلفية” يتم تحميلها عند تثبيت البرامج المطلوبة.
وفي مارس الماضي، وصفت شركة HUMAN Security التهديد بأنه أكبر شبكة روبوتات تم اكتشافها لأجهزة التلفاز الذكية CTV، مع تفشٍ واسع في البرازيل، الولايات المتحدة، المكسيك، والأرجنتين.
ورغم أن النسخ الأولى من البرمجية الخبيثة كانت تُزرع عبر سلاسل التوريد، إلا أن الهجمات تطورت لاحقًا لتنتشر من خلال تطبيقات ضارة تُحمّل من متاجر غير رسمية.
ويُقدّر أن أكثر من 10 ملايين جهاز انضم إلى شبكة BADBOX، مما مكن المهاجمين من بيع الوصول إلى الشبكات المنزلية المُخترقة لجهات خبيثة أخرى.
تفاصيل الدعوى القضائية: هيكل إجرامي منظم
في الشكوى المقدمة بتاريخ 11 يوليو 2025، أشارت جوجل إلى أن بنية BADBOX الإجرامية تتألف من عدة مجموعات:
-
مجموعة البنية التحتية (Infrastructure Group): تدير الخوادم والتحكم المركزي (C2).
-
مجموعة البرمجيات الخلفية (Backdoor Malware Group): تطوّر البرمجيات الخبيثة وتثبّتها مسبقًا على الأجهزة.
-
مجموعة التوأم الخبيث (Evil Twin Group): تنفذ حملة احتيال عبر تقليد التطبيقات الشرعية وعرض إعلانات خفية من خلالها.
-
مجموعة ألعاب الإعلانات (Ad Games Group): تطلق تطبيقات ألعاب مزيفة لتوليد نقرات إعلانية مزورة.
كما تتهم جوجل هؤلاء المهاجمين بإنشاء حسابات نشر على شبكة إعلانات Google لعرض المساحات الإعلانية ضمن تطبيقاتهم أو مواقعهم.
“الهدف الأساسي من هذه التطبيقات والمواقع هو عرض إعلانات يتم التفاعل معها من قبل روبوتات BADBOX 2.0، مما يولّد انطباعات مزيفة تدفع جوجل مقابلها”، بحسب الدعوى.
وتشمل طرق الاحتيال:
-
تحميل الإعلانات الخفية عبر تطبيقات مزيفة تشبه التطبيقات الأصلية.
-
فتح متصفحات خفية تتفاعل مع الإعلانات داخل ألعاب احتيالية.
-
استخدام الأجهزة المصابة لتنفيذ نقرات احتيالية (Click Fraud).
أمر قضائي أولي وإجراءات تفكيك الشبكة
قالت جوجل إن المحكمة أصدرت أمرًا قضائيًا أوليًا يطالب شبكات BADBOX 2.0 بإيقاف عملياتها فورًا، ويُلزم مزودي خدمات الإنترنت ومسجلي النطاقات بالمساعدة في تفكيك البنية التحتية للشبكة، مثل حظر النطاقات المستخدمة في الاتصال.
وفي تصريح لموقع The Hacker News، رحّب Stu Solomon، الرئيس التنفيذي لشركة HUMAN Security، بإجراءات جوجل، وقال:
“يمثل هذا الإنجاز خطوة مهمة في المعركة المستمرة لتأمين الإنترنت من عمليات الاحتيال المعقدة التي تسيطر على الأجهزة، وتسرق الأموال، وتستغل المستخدمين دون علمهم”.
