Guten Abend,

erstmal danke für Ihre Antwort.

Ich besitze tatsächlich eine TV Box, zwar nicht unter der Liste aufgeführt, aber dieses wäre wohl das naheliegenste Gerät. Ich war verwundert gewesen, denn die IP-Adressen sind keiner meiner Geräte zuordbar.

Wie Sie vorgeschlagen haben, habe ich das Gerät erstmal getrennt und bleibt auch getrennt.

Muss ich jetzt noch befürchten, dass Fremde noch auf mein Netzwerk zugreifen können, bzw. mein Netzwerk noch infiziert sein könnte, oder geht jetzt generell keine Gefahr mehr aus, wenn das infizierte Gerät getrennt bleibt?  Solange keine neuen Hinweise oder Meldungen nach dem Abklemmen des Geräts erscheinen, wäre die Gefahr gebannt, oder?

Besten Dank für Ihre Hilfe!

Viele Grüße!

Guten Tag!

Soweit es aktuell bekannt ist, versuchen die Kriminellen hinter BadBox nicht weiter im Netzwerk Fuß zu fassen. Nachdem das Gerät abgestellt ist, sollte keine Gefahr mehr vorhanden sein. Wenn Sie dann noch die üblichen Hygiene-Maßnahmen befolgen (Sicherheitsupdates zeitnah einspielen, grundlegenden Schadsoftwareschutz auf Windows-Systemen, Software nur aus vertrauenswürdigen Quellen beziehen) sind sie gut aufgestellt.

Das Gerät kann übrigens schon mehrere Jahre in Betrieb sein, ohne das es vorher Anzeichen dafür gab. Dies war bei mir der Fall mit einer TV Box, die seit über drei Jahren ihren Dienst verrichtet. Erst im April 2025 kam die Warnung und die TV Box läuft nur noch mit USB-Stick ohne Internetkabel.
Interessant vielleicht noch zu erfahren, ob es ausreichend wäre, der TV Box jeglichen Internetzugang zu verweigern aber im Netz zu belassen. Nur für die Kommunikation mit einem NAS oder Home-Server. Bad Box muss ja Befehle erhalten bzw. anfragen senden. 

Hallo, ich möchte mich hier mal dazu gesellen. Seit ca. einem viertel Jahr erhalte ich regelmäßig solche Warnungen. Inzwischen ignoriere ich diese. Denn es ist nicht möglich die dafür zuständig IP im Netzwerk zu ermitteln, trotz mehrfachen Netzwerkverkehrmitschnitts der Fritz Box. Die Ziel IPs ist in der Regel The Shadowserver Foundation, Inc., angeblich eine gemeinnützige Organisation für Interne Sicherheit. Meine Anfragen betreffs der Scans  wurden von der Firma nicht beantwortet. Vodafone scheint auf Nachfrage nach den Mails überhaupt keinen Plan zu haben. Ich habe mir extra ein neues Handy geholt, aber ich bekomme immer noch diese Mails. Alle anderen Android Geräte im Netzwerk kann ich ausschließen. Also ignorieren.

Hallo alteropa!

Die Domains, welche zu der Schadsoftware BadBox (und den dazugehörigen anderen Schadsoftwaren wie z.B. Vo1D, Vo1D2) gehören, wurden im Rahmen von Klagen in den USA treuhänderisch an die gemeinnützige Organisation ShadowServer übertragen. Diese betreiben für diese Domains Sinkholes, d.h. Systeme, die aufzeichnen, wer diese Domains aufruft. Diese Informationen werden dann mit den zuständigen ISPs und nationalen CERTs geteilt (in Deutschland dem CERT-Bund), damit diese betroffene Personen benachrichtigen könnnen.

Die Erkennung von BadBox basiert nicht auf Scans, sonder ausschließlich auf ausgehenden Netzwerkverbindungen von deiner IP zu diesen Sinkholes.

Leider ist eine Vielzahl an Produkt(-namen) hiervon betroffen, und es gibt immer noch keine vollständige Liste aller betroffenen Gerätetypen. Die umfassendste Liste, die mir derzeit bekannt ist, stammt von "Human Security", einer Sicherheitsfirma, die sich eingehend mit BadBox und BadBox 2.0 beschäftigt haben.

Auf folgender Seite unter der Überschrift "Appendices / IoCs" ist eine Liste der Modellbezeichnungen von Geräten, die von BadBox betroffen sind, und weiter unten eine Liste der Domains, die zu BadBox gehören:

https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/

Einfach die Augen zu verschließen hilft leider nicht, weil genau diese Netzwerke von infizierten Geräten von Kriminellen für alle möglichen Zwecke missbraucht werden können. Ein Beispiel ist der Verkauf "deines Internetanschlusses" zur Nutzung als Proxy, womit dann z.B. Kriminelle über den betroffenen Internetanschluss Straftaten begehen können.

Viele Grüße,

MindSolve

@MindSolve 

Einige der von dir er wänden Sachen sind mir durch eigene Recherchen bekannt. Das Problem ist, dass niemand einen Plan hat, wie man das Teil losbekommt. Diese ganzen Hinweise, Virenscanner und Google Play Protect sind nicht hilfreich. Habe ich alles und sogar noch eine Firewall. Werkreset hat auch nichts gebracht. Damit wollen irgendwelche Leute nur ihr Gewissen beruhigen. "Wir haben es euch ja gesagt"!  Auch der Mitschnitt des Datenverkehrs auf Handy und Fritzbox hat zu keinem Ergebnis geführt, wer der Übeltäter sein könnte. Domains Sinkholes ist doch auch nur zu überwachen, wenn ich das richtig verstanden habe. Warum schaltet man die Domänen nicht einfach aber, wie das beim Vorgänger praktiziert wurde. Oder ein Virenscanner, der das Teil findet. Denn ich schmeiße bestimmt nicht alle Android-Geräte weg. Wer weis, wie lange ich das schon im Netzwerk habe, da die Überwachung vermutlich erst im Sommer gestartet wurde. Ich möchte nicht wissen, wie viele Endverbraucher davon betroffen sind, ohne es zu wissen. Die meisten wissen noch nicht mal, was ein Virus ist und dass es so etwas gibt.  Den kriminellen das Handwerk legen. Aber dann sind schon wieder die nächsten am Start. Das ist eine Spirale ohne Ende. Also wenn irgendwer einen Plan hat, her damit. Bis dahin ist aussitzen angesagt.

Mfg alteropa