Infektion: badbox (TELEKOM SICHERHEITSTEAM )

[Friz Label]

Ich habe von meinem Telefon und Internetanbieter TELEKOM SICHERHEITSTEAM eine Email bekommen:

"......
....Auffälligkeiten bei Ihrem Anschluss, Zugangsnummer xxxxx....
Folgende Informationen zu dem Sachverhalt haben wir für Sie:
Zeitpunkt: 06.03.2025 20:06:09 MEZ
Infektion: badbox .......
"
Google brachte mich auf dies Seite:

https://www.bsi.bund.de/DE/Themen/V...-Botnetze/Steckbriefe/BADBOX/badbox_node.html

Wie kann ich das Android Gerät Infektion: badbox Identifizieren?

Leider sind mehrere Geräte in meinem Haus. TV, TVStreamigBox und ein Tablett. Alle 2025 gekauft und Android Betriebssystem.

danke

 

[blurrrr]

Hi,

als erstes mal: Stimmt die Absende-Mailadresse bzw. ist es eine korrekte Telekom-Mailadresse? Stimmt die Zugangsnummer?

Woran erkenne ich, dass die E-Mail mit einem Sicherheitshinweis wirklich von der Telekom kommt?

Gab es mittlerweile mehrere dieser Mails? Falls nicht, dürfte es wohl eher schwierig werden... ansonsten hätte ich gesagt: Nimm ein Gerät ausser Betrieb und schau, ob die Mails aufhören. Falls nicht, Gerät wieder einschalten und das nächste Gerät ausser Betrieb nehmen.

Auf der anderen Seite werden vermutlich eher Geräte befallen sein, mit welchen man aktiv im Internet unterwegs ist. Ein TV wird dafür wohl eher weniger genutzt, eine Streamingbox (vermutlich) auch eher weniger, womit eigentlich nur noch das Tablet übrig bleibt.

Allerdings heisst es auch:

BADBOX wird während der Produktion oder unmittelbar danach in der Firmware des Geräts installiert. Das Gerät ist bereits infiziert, wenn es den Endkunden erreicht.

Womit man die vorherige Überlegung direkt wieder über den Haufen werfen kann und man theoretisch sagen muss: Alles "könnte" infiziert sein, also sollte auch "alles" ausser Betrieb genommen werden.

Interessant wäre hier wirklich, ob Du häufiger solche Mails bekommst/bekommen hast.

Zudem die Frage: War ggf. zum betroffenen Zeitpunkt eine weitere Partei in Deinem WLAN (z.B. Gast-WLAN)?

 

[Stationary]

Wenn da auch noch drinsteht:

Halten Sie bitte hierzu die Ticket-Nummer aus dem Betreff und Ihre bei uns hinterlegte IBAN zur Identifizierung bereit

dann aufpassen. Das klingt dann verdächtig nach phishing.
Es gibt aber durchaus tatsächlich ähnliche e-mails von der Telekom. Der Absender ist dann wohl meist "Telekom Sicherheitsteam" <abuse@telekom.de>
Die fragen bei Kontakten dann aber maximal die letzten sechs Stellen der IBAN ab.

 

[Friz Label]

Ich halte die Email vom TELEKOM SICHERHEITSTEAM für authentisch.


Nach Anfrage beim TELEKOM SICHERHEITSTEAM bekam ich diese Antwort:

"....

| Kundennummer: xxxxxxxx
| Anschlussinhaber: xxxxxx xxxx

Guten Tag xxxxx

danke für Ihre E-Mail vom 29. März 2025. Ich kann Ihren Unmut sehr gut nachvollziehen.

Erhalten wir Sicherheitshinweise (in diesem Fall vom CERT-Bund), sind wir als Telekommunikationsanbieter gesetzlich verpflichtet, Nutzer – sofern sie bekannt sind – unverzüglich über bekannt gewordene Störungen zu informieren, die von IT-Systemen der Nutzer ausgehen.
Unserer gesetzlichen Verpflichtung kommen wir also entsprechend einfach nach.

Welches Ihrer Endgeräte betroffen ist, können wir an dieser Stelle nicht prüfen – tut mir leid.

Grundsätzlich können wir aber mitteilen, dass die folgenden Geräte relativ häufig mit diesem Problem auffällig sind:

95 Android TV (Allwinner H616)
T95
T95Max
X12-Plus
X88-Pro-10
ONN 4K Box
T95Z
Q9
MXQ Pro 5G
J5-W (Tablet)

Ggf. hilft Ihnen das zur Eingrenzung.

Anbei habe ich Ihnen einen Link vom Bundesamt für Sicherheit in der Informationstechnik beigefügt.

https://www.bsi.bund.de/DE/Themen/V...-Botnetze/Steckbriefe/BADBOX/badbox_node.html

Dort finden Sie weitere Informationen zur Schadsoftware Badbox.

Wenn Sie weitere technische Unterstützung wünschen/benötigen, biete ich Ihnen zusätzlich noch unser Produkt „Digital Home Service S“.
Für nur 6,95 Euro / Monat (Mindestvertragslaufzeit 12 Monate) helfen Ihnen unsere Experten/Innen schnell und unkompliziert weiter - per Telefon oder Fernwartung.
Die Kollegen können sich auch auf Ihre genutzten Endgeräte schalten (Remote-Zugang) und Sie so unterstützen.
........."
Ist dass Sorge um die Telekom Kunden oder Werbung für "Digital Home Service S"?
Die Android Geräte verwende ich erst mal nicht.

Wer bekommt ähnliche Mails vom TELEKOM SICHERHEITSTEAM ?
danke

 

[framp]

Sowas nennt man kundenfreundlich Da hat man als Provider ein Problem beim Kunden erkannt (die Frage ist wie) und lässt den Kunden im Regen stehen

Wie wurde das erkannt ?
Wie kann ich den Kandidaten in meinem Netz finden?

Nur ein lapidarer Hinweis dass es da irgendjemand mit einer badbox im lokalen Netz gibt.

Wie ist es mit FalsePosives? Vielleicht hat die TCom ein Problem entdeckt was keines ist?

Alles sehr kundenunfreundlich ... ich bin nicht bei der TCom ...

 

[Stationary]

Wie wurde das erkannt ?

Na ja, die C2-Server sind wohl teilweise bekannt, wenn also ein Gerät dahin sendet, dann kann der TKom-Anbieter das schon nachvollziehen, aber eben nur bis zum Router. Was hinter dem Router passiert, kann der Anbieter so ohne Weiteres nicht sehen.

Da müßte man vielleicht mit Hilfe eines pihole versuchen, nachzuvollziehen, welche Geräte welche externen Server anzusprechen versuchen.

 

[Stationary]

Hier findet man mehr Informationen über IP-Adressen und ähnliches was mit Badbox zusammenhängt: https://censys.com/blog/unpacking-the-badbox-botnet
und https://www.bitsight.com/blog/badbox-botnet-back

 

[Friz Label]

Ich habe wider vom TELEKOM SICHERHEITSTEAM eine Email bekommen.
".....Zeitpunkt: 05.04.2025 13:17:28 MESZ
Infektion: badbox...."
Im der Zeit hatte ich die Lipa X88 Pro 13 Android TV-Box 4-64 GB Android 13 und Xiaomi Redmi Pad Pro 12.1" 6/128GB Ozeanblau über das GastWLAN mit dem Internet verbunden.
Das verwendete Googlekonto verwende ich nur für TV-Geräte(Youtube).Beide Geräte waren nur 1-2 Stunden eingeschaltet.Ich habe das Password vom Googlekonto geändert.Mit Win11 und Firefox.

Nach 3-4 Tagen reagiert das TELEKOM SICHERHEITSTEAM auf badbox. Also
muss ich einfach eines der Geräte einschalten und auf eine Reaktion vom TELEKOM SICHERHEITSTEAM abwarten.

 

[Stationary]

Du könntest auch einfach selbst Maßnahmen ergreifen und nachsehen, welches Deiner Geräte die bekannten Server versucht anzusteuern. Etwas Eigeninitiative kann da nicht schaden, badbox auf einem Deiner Geräte ist nur das Einfallstor, um Dein Netzwerk bzw. andere Deiner Geräte zu übernehmen. Abwarten wäre da für mich keine Option. Vor allem auch nicht die Wiederinbetriebnahme eines solchen Gerätes im gleichen Netzwerk wie der Rest meiner Geräte, aber dem hast Du ja mit dem Gastnetz vorgebaut.

 

[Stationary]

Ich würde übrigens auf die X88 Pro tippen. Die hat einen Chipsatz von Allwinner oder Rockchip und wurde schon 2023 als ab Werk mit badbox infiziert beschrieben. Da bleibt eigentlich nur die Entsorgung.
https://www.zdnet.de/88412275/android-geraete-ab-werk-mit-malware-infiziert/

 

[the other]

Moinsen,
da bin ich bei @Stationary...
Und: es ist natürlich nichts völlig auszuschließen, aber (laut meines Wissens) doch so, dass besonders die billigen / günstigen NoName Produkte aus den typischen Billig-online-shops aus Fernost da betroffen zu sein scheinen, weniger die Markengeräte (was aber nicht heißen soll, dass diese kategorisch ausgeschlossen sind).
Also: mal überlegen...welches angebliche "Schnäppchen" hast du erstanden? Irgendwas aus den chin. online-shops, was "unschlagbar" günstig war? Das würde ich dann besonders in Betracht ziehen...
Ich sags ja immer wieder ungefragt: wer billig kauft, kauft doppelt und billig ist nicht immer auch günstig...

 

[Mavalok2]

95 Android TV (Allwinner H616)
T95
T95Max
X12-Plus
X88-Pro-10
ONN 4K Box
T95Z
Q9
MXQ Pro 5G
J5-W (Tablet)

Hmm, sind dies nur Modellbezeichnungen, Marken oder einfach Buchstabensalat? Zumindest bei einigen fehlen die Marken / Hersteller. Bei denen die ich geprüft habe sind mir die Marken / Hersteller völlig unbekannt. Klingen aber ziemlich nach den üblichen "günstigen" China Marken.
Es gibt gute Chinesische Hersteller, aber die sind auch nicht wirklich günstiger als alle anderen Hersteller. Qualität hat nun mal seinen Preis, auch in China. Bei allem anderen würde ich die Finger von lassen. Lieber das gute alte Geräte noch ein paar Jahre länger benutzen.
So eine Schadsoftware muss ja nicht mal zwingend Absicht sein. Lässt aber auf einen Mangel an der Qualitätskontrolle schließen. Kann zwar immer passieren, auch westlichen Firmen, aber bei gewissen Billigherstellern häufen sich einfach die Fälle.

Da müßte man vielleicht mit Hilfe eines pihole versuchen, nachzuvollziehen, welche Geräte welche externen Server anzusprechen versuchen.

Ja, so etwas in dieser Richtung wäre natürlich ideal. Aber mit einem PiHole oder ähnlich kommt auf die Schnelle nicht jeder zurecht.

Normalerweise würde ich die 50:50 Methode empfehlen: Die Hälfte der Geräte abhängen. Ist dann alles gut, von den abgehängten Geräten wieder 50% anhängen und prüfen usw. Aber bei Schadsoftware? Wäre dies bei mir passiert, ich hätte komplett alles still gelegt, alle Geräte.
Aber wie weiter? In einer Firma müsste man genau genommen komplett bei Null neu beginnen und alles komplett neu Aufbauen, da alle Geräte und auch sämtlich Daten als kompromittiert anzusehen sind, sprich Du hast keine Ahnung, wo sich die Schadsoftware inzwischen noch eingenistet haben kann. Bei einem Bettwanzenbefall ist auch nicht das Staubtuch die bevorzugte Waffe.

Personen, die mit IT-Sicherheit nicht so bewandert sind, würde ich einen Spezialisten empfehlen. Der kann schnell prüfen, abschätzen und beraten.
Alternative: Alles raus und neu. Und wehe Du hast was übersehen.

Was ich auf jeden Fall empfehlen würde:
- Kreditkartenabrechnungen genau prüfen
- Sämtlich Passwörter ändern und wenn der Befall behoben ist nochmals
- Auf sonstige Unregelmäßigkeiten achten

Mit einer Schadsoftware ist nicht zu spaßen, da man nie genau weiß, wo sie sich überall einnistet und da sie auch nachträglich zusätzliche Schadfunktionen nachladen kann.