Abuse Badbox 2.0?

Ook geen gezinslid/medebewoner die zo’n illegale Android TV IPTV streamer box gekocht heeft recent?
Of draait je TV misschien Android?

Het kan al langer gaande zijn, maar ik zou vooral nagaan wat je de afgelopen maand allemaal aan je netwerk hebt gehangen. Kijk ook eens in je netwerk of je apparaten verbonden ziet die je niet herkent en blokkeer ze één voor één en kijk of er iets kapot gaat.

WireShark?

@Rednas71 dat fotolijstje van denver draait zeker wel op android. Vaak ook een behoorlijk verouderde versie, waarschijnlijk android 7 of 8.

Bron: ik ben bezig om een ander lijstje, een pexar 2k, ook Frameo, te tweaken om daar een HA dashboard op te zetten. De frameo app op dat ding en je telefoon zijn slechts de user frontend. Onder de motorkap is het een kortgewiekte android versie zonder G-apps/playstore/launcher ed.

Over het algemeen heb ik het idee dat Frameo (een Deens bedrijf die de app en volgens mij ook de android build levert) de zaakjes redelijk op orde heeft, op mijn android 11 exemplaar was met geen mogelijkheid andere apps te installeren zonder wat hacks en de Frameo app zelf heeft een auto update mechanisme waar regelmatig wat voor uit komt.

Toch denk ik dat je wel zeker naar je lijsje moet kijken als eerste verdachte, de fotolijst van mijn ouders (van Denver, met Frameo) draait op android 7, standaard met root access aan en andere apps daarop installeren was geen probleem... (Dat was voor mij heel handig, maar niet zo verstandig vanuit de fabrikant)

Misschien is een praktische oplossing om het fotolijstje even niet te gebruiken (stekker eruit of wifi verbinding in de frameo app op t lijstje deleten) en daarna even met abuse van kpn te schakelen of het verdachte verkeer nog aanwezig is.

Je kan ook via android debug bridge kijken of er verdachte processen of packages zijn geinstalleerd. Via de frameo app kan je bij settings voor ADB toegang inschakelen via "lid worden van Beta programma". Maar dat is wellicht niet aan te raden als je niet zo bekend bent met android, als je daarbij hulp nodig hebt laat maar weten

[ Voor 10% gewijzigd door kwibox op 14-12-2025 00:25 ]

ik zou de denver fotolijst als 1e verdenken, zie bv https://thehackernews.com...hinese-entities-over.html

BADBOX, first detected in late 2022, is known to spread via internet of things (IoT) devices such as TV streaming devices, digital projectors, aftermarket vehicle infotainment systems, digital picture frames and other products, most of which are manufactured in China.

Rednas71 schreef op zondag 14 december 2025 @ 09:46:
Fotolijstje heb ik nu losgekoppeld van WiFi. Bedankt voor de input!

Verder alle draadloze verbindingen in kaart gebracht via het modem. Tegen de 40 devices, meer dan ik zo dacht. Prettig dat ik alles nu weet.

Buiten een S24 Android van mijn zoon (waar niet mee is gerommeld) en een TV niets wat op Android draait. Vooral IOS devices, TV's op andere OS'sen, Sonos/Ikea spul, Windows/Linux laptops, IP-cams, een vaatwasser, Homewizard spul, en wat Tuya dingen (infrarood paneeltje, led-strip, stekkertje). Daarnaast wat ESP zaken op Home Assistant. Verder heb ik best wat Zigbee devices, maar dit staat los van Wifi dus dat kan het ook niet zijn.

Wireshark heeft mijn zoon via zijn (bedrade) PI vannacht aangezet om te monitoren. Kijken of we hier iets mee kunnen/wegwijs uit kunnen worden.

Zelf verwacht ik eigenlijk geen bijzonders meer, want het enige van de afgelopen weken/maand is dus die fotolijst en een wireless Carplay Dongle (die heb nog nooit op een PC aangesloten, zit alleen in de auto). De rest hebben we al maanden/jaren.

Wireshark aanzetten op een random device gaat je niet helpen iets te vinden.
Je ze zult op een switch een mirror poort moeten maken waar je iets aanhangt dat wireshark draait. En als de culprit niet eens via deze switch gaat ga je hem zo ook niet vinden. Of je moet wireshark op je router kunnen draaien.

Nee op deze manier wireshark draaien gaat absoluut geen zin hebben zoals hierboven gezegd, tenzij badbox zich op de pi bevind...

Overigens denk ik dat badbox niet alleen op androids zou kunen draaien, maar op alle aanverwante *unix devices. Dat betekend dat je je linux laptop, die Pi zelf (was ie eerder al ingebruik?) en de IP camera ook verdacht kunnen zijn.
Resetten naar default en updates installeeren kan helpen, maar je hebt dan niet altijd garantien dat de malware weg is....

Het maakt natuurlijk niet uit of een apparaat via wifi of bekabeld aangesloten is, dus ik snap niet waarom je dat onderscheid maakt.

Wel zou je, als je wireshark via wifi laat capture, wel al* het wifi verkeer zou moeten kunnen snoopen, dit itt hoe je het nu hebt bedacht. Dus wireshark op je laptop draaien en zoveel mogelijk devices via wifi verbinden (ethernet stekker eruit) kom je misschien wel verder mee. Doe dat wel device per device, anders is het niet te volgen gezien de storm van pakketjes van 20+ devices die dan volgt.

* met enige uitzonderingen bij bijzondere netwerkconfiguraties, zoals peer isoluation, wrs niet van toepassing in jouw thuissituatie

Ik zou verder dus nog wel schakelen met de abuse afdeling van kpn voor advies. Het fotolijstje is misschien de meest verdachte, maar ik zou nog niet al mijn geld daarop inzetten.

Tenslotte valt mij wel op dat er steeds meer devices bij komen, heel begrijpelijk natuurlijk anno 2025.
Maar denk wel dat het verstandig te beginnen met een goed overzicht te maken. Want hoezo bv heeft jouw zoon een raspberry pi (waar word/werd ie voor gebruikt?) en wat doe een linux laptop in je lijstje? Niet om veroordelend te zijn (hier 40+ devices, en ik ben alleenstaand ) maar dat zijn geen OS's die de huis-tuin-en-keuken consument zomaar zelf draait en kunnen wel kwetsbaar zijn. Dus het is belangrijk om helder te hebben wat er draait, waarom en met welke functie om de kans op malware op dat device beter in te kunnen schatten.
Al is een brak, el cheapo chinees iot device zoals dat fotolijstje nog steeds de meest verdachte als je het mij vraagt.

[ Voor 34% gewijzigd door kwibox op 14-12-2025 11:44 ]

Hmm. Je gaat nu wat ver. Waarom zou een zoon geen tweaker kunnen zijn of worden, de meeste tweakers zijn ook hobby'end kind (nu of geweest) in ouderlijk huis en Linux is ook niet ongehoord: vraag maar aan LNX Kroeg - Deel 2

@F_J_K ik beweer ook zeker niet dat dat raar is, in huize Kwibox draait alleen maar *unix geen enkele windows... (freebsd, linux, android).

Ik vind het wel opvallend in de context van TS, die zelf nota bene aangeeft: ".... Badbox 2.0 malware. Heb daar eigenlijk geen enkel verstand van.... " en er op - 1 telefoon na - geen Android draait, terwijl dat in een modern huishouden eigenlijk ondenkbaar is gezien de verspreiding daarvan. Dat blijkt ook zo te zijn, want TS heeft zeker wel meer Androids . Daarnaast kan je bij de posthistorie van TS duidelijk zien dat 'ie geen vaste klant is in de LNX of Android fora...

Stel dat later blijkt dat zoonlief op de Pi LineageOS draait met kodi en een paar "free TV-plugins" is het toch verstandig om kritisch rond te kijken in het huishouden wat er draait en waarom. Een Denver fotolijstje is dan regulier consumenten spul, een Raspberry pi is dat toch wat minder.

Besef je dat wij in een techbubbel leven; als ik aan mijn vakgenoten/vrienden zeg dat ik een raspberry pi heb denken ze dat ik een wel heel fruitige taart aan het bakken ben

Add
@Rednas71 Hier kan je wat info vinden over badbox en adressen van C&C servers, handig voor je wireshark zoektocht. Zullen vast niet de enige adressen zijn; denk dat kpn wel kan melden met welke die van jouw babbelt.

https://www.bitsight.com/blog/badbox-botnet-back

[ Voor 23% gewijzigd door kwibox op 15-12-2025 14:23 ]

Welk model Denver fotolijstje is het trouwens? Dan zal ik met enige argwaan even bij mijn ouders hun Denver fotolijstje controleren...

Ohw gelukkig niet hetzelfde model, te groot.

Offtopic: ja zonde, ik vind het leuk spul; technisch gezien is het dus een adroid tablet zonder accu, camera of mic. Perfect dus voor foto's (of een Home Assistant touchscreen interface )



Dit is op een 11 inch Pexar 2K

Hmm als Denver er zelf al van weet zou het best een redelijk wijd verspreid probleem kunnen zijn.... Niet zo netjes dat ze die dingen dan alsnog in de handel brengen (misschien intressant voor Tweakers om hier wat over te schrijven).Wat ik begrijp van BadBox dat het vaak een supply chain kwetsbaarheid is; Denver besteld de hardware waarschijnlijk bij een OEM als soort whitelabel product. Vermoedelijk word de software al geinfecteerd bij de OEM.

Die malware kan dan moeilijk zijn om te verwijderen aangezien het in onderdelen kan zitten die niet altijd geupdate worden. Zowiezo zie ik voor mijn Frameo lijstje dat er alleen updates zijn voor de app; ik weet niet of het onderliggende OS ook makkelijk/regelmatig gepatched word via de app.

Mijn advies: retourneren die hap, een IoT product die met malware geleverd wordt is simpelweg niet conform en ik heb sterke twijfels of het updaten van de Frameo app op je lijstje het probleem echt oplost. Een volledige OTA update van het hele android systeem overleeft namelijk ook een reset van je lijstje, met andere woorden alleen de Frameo app word geupdate en dat kan misschien bepaalde malware blokkeren, maar niet verwijderen/de kwetsbaarheid oplossen.

(Voor het customizen van mijn lijst heb ik namelijk de frameo app van de lijst gehaald en door een decompiler gehaald. Er lijken onderdelen in te zitten die kunnen bepalen wat er mag draaien op het lijstje, maar dat lost het onderliggende probleem niet zomaar op).

De reactie van Denver vind ik eigenlijk niet oke; ze lijken zich er wat makkelijk vanaf te maken...

[ Voor 29% gewijzigd door kwibox op 15-12-2025 14:25 ]

Vandaag ook een mailtje van kpn abuse gehad over deze Badbox 2.0 besmetting.
Naar aanleiding van jullie berichten verdenk ik onze Denver fotolijstje ook. Deze hebben wij
3 dagen geleden 1,5uur op onze wifi gehad om er foto's op te zetten om binnenkort cadeau te geven.
Deze is vorige week besteld op Bol.com. Aangezien dit het enige apparaat is wat ik de afgelopen maanden nieuw aangemeld heb op ons netwerk lijkt me dat de meest verdachte.
Heb zojuist ook een overzicht gevraagd van de tijdstippen aan het kpn abuse team. Dus als het tijdstip overeenkomt weet ik genoeg.

Ja en nee, ik denk dat je deze conclusie nog niet kunt trekken.
Als je een systeem opnieuw installeert firmware/OS is de besmetting natuurlijk weg maar
als de kwetsbaarheid nog bestaat is het een kwestie van tijd voordat de besmetting opnieuw gebeurt. Het nadeel van IOT is precies dit, je weet niet precies wat een factory reset doen en/of een upgrade. Een nieuwe firmware versie kan het lek dichten of tja een nieuwe nutteloze functie toevoegen.

Play protect is geen holy grail. Ja het scant bepaalde zaken maar dit is ook maar een moment opname en trouwens zegt niks over zaken die buiten deze package manager geïnstalleerd worden. Het is meer een realisatie, een IOT device draait op een OS, heeft apps etc. Ik kan makkelijk een IOT device maken met een VPN client waarbij ik bij jouw complete netwerk kan bereiken dit is echt kinderspel. En dit is alleen vanuit netwerktechnisch oogpunt een programmeur heeft deze trucjes niet eens nodig.

Eerlijk? Je kan er niks aan doen. Elk apparaat wat je aan het internet hangt is een risico.
Je kunt z'n apparaat isoleren van de rest van je netwerk maar dan? Het heeft om goed te werken internet nodig, dus het gebruikt jouw WIFI/Public IP. Kunnen ze spam versturen vanaf jouw IOT device op jouw netwerk? Ja, kunnen ze een DDOS uitvoeren vanaf jouw netwerk? Ja. Dit kan je koelkast doen, je vriezer, je airco alles wat je op jouw verbinding aan het internet hangt kan dit doen.

Je kunt isoleren zodat deze devices niet bij je NAS of laptops ofzo kunnen komen tuurlijk maar ze hebben alsnog jouw internet verbinding nodig en dat is waar dit topic over gaat.

De Frameo app draait op mijn apparaat als root, vermoedelijk ook bij de Denver's. Dus denk dat het technisch wel mogelijk is om met een update malware te verwijderen.

Toch zou ik die apparaten niet meer vertrouwen, de Android versies zijn hopeloos verouderd, alles draait als root (dus ook malware kan makkelijk root rechten krijgen!). Deze android versies hebben ook geen dm-verity, wat de /system en /vendor partities beschermt tegen modificaties. Wrs is de malware als supplychain kwetsbaarheid op je device gekomen. Het zit dus vermoedelijk in de ROM en dat krijg je zonder volledig nieuwe firmware flash waarschijnlijk niet zomaar weg.

Ook op je gastennetwerk gebruiken is niet aan te raden want dan kan je device alsnog in een botnet functioneren (en heb jij dus last van abuse meldingen in het beste geval, zou je afgesloten of in theorie zelfs aansprakelijk gesteld kunnen worden voor omkosjere zaken die vanaf jou ip plaatsvinden via dat botnet).

Er is geen excuus voor een IoT device die uit de doos malware of ketsbaarheden bevat die binnen 1 een week gebruik al misbruikt kunnen worden.

Retourneren die hap als je nog kan.

Ik zou adviseren om een wat moderer Frameo fotolijstje te kopen, van te voren onderzoek doen naar de android versie. Want met het frameo systeem zelf is denk ik niet veel mis (Deens bedrijf, lijken beveiliging wel serieus te nemen, garandeerd lang updates). Echter de malware/kwetsbaarheden waar we het over hebben zitten denk in de onderliggende ROM van de hardware OEM. Die gaten kan je maar moeilijk dichten, zie het als een rieten mand waar je water in wilt vervoeren; met kit en stopverf kom je een heel eind, maar het blijft een rieten mand

Mijn pexar 2k heeft bv android 11 en dus wel dm-verity; extra apks installeren is niet zomaar mogeijk zonder trucjes (zie mijn topic daarover, ik ben tijdens het modden geen rare apks of processen tegen gekomen, ook geen raar netwekverkeer oid).

Het maakt dat ding natuurlijk niet feilloos (want als ze uit de doos al met malware komen, daar helpt natuurlijk niet veel tegen... ) maar wel een stukje beter beveiligd door de minder antieke software.

[ Voor 36% gewijzigd door kwibox op 16-12-2025 23:28 ]

Jim423 schreef op zaterdag 13 december 2025 @ 23:34:
WireShark?

Werkt natuurlijk alleen als je in de lijn zit. Dus dan moet je je pc tussen modem en switch neerzetten en laten bridgen tussen twee nic's. Mensen die dat kunnen stellen deze vraag niet.

Heb dit ook gehad, kpn gewoon vragen welk apparaat, kunnen ze zien in hun logs

Hein1961 schreef op maandag 5 januari 2026 @ 21:19:
Heb dit ook gehad, kpn gewoon vragen welk apparaat, kunnen ze zien in hun logs

Hoe gaan ze dat zien door een NAT-firewall heen? Post dit ding in een plaintext HTTP request het device id oid? OF in wat ongecrypt C&C-verkeer?
Ik zou bijna een AVG-klacht indienen tegen de makers van die malware

Rednas71 schreef op dinsdag 16 december 2025 @ 16:42:
Duidelijk, dank voor je antwoord.
Dan is een apart WiFi netwerk op je router (bv gastennetwerk via KPN) volgens mij een goede maatregel om ieder geval (mits dat niet nodig is) connectie met je lokale devices uit te sluiten.

Ik weet niet hoe deze fotolijstjes precies werken maar is het geen optie een WiFi netwerk zonder internettoegang te maken? En dan P2P de foto's erop uploaden. Ook als je deze met het gastennetwerk verbind is het weer op een mailtje wachten natuurlijk.

Jim423 schreef op woensdag 7 januari 2026 @ 10:22:
Ik weet niet hoe deze fotolijstjes precies werken maar is het geen optie een WiFi netwerk zonder internettoegang te maken? En dan P2P de foto's erop uploaden. Ook als je deze met het gastennetwerk verbind is het weer op een mailtje wachten natuurlijk.

Als een fotolijst via bluetooth werkt ben je er, of als er een SD-kaartje in zit.

Wifi: dat doe je niet op de fotolijst maar op netwerkniveau: afhankelijk van router die je hebt kan je hebt kan je zoals ik eerder al aangaf alle verkeer van en naar internet blokkeren voor het (vaste) IP-adres van de fotolijst. Zo heb ik bijvoorbeeld mijn TV geblokkeerd zodat die geen ads toont maar wel kan worden gebruikt voor streaming. (Hooguit even open zetten voor firmware- en andere updates, maar alleen als dat nodig en nuttig is).

Het Frameo ecosysteem zit best wel dichtgetimmert. Je kunt op 3 manieren fotos op je lijstje krijgen: via een app op je smartphone, via een usb drive of sd kaart die je in lijstje steekt, via een usb kabel met je pc (dan gedraagd je lijstje zich als een usb massa opslag device, net als een gewone android smartphone).

Via de app heb je wel een internet verbinding nodig; je koppelt je lijstje met een systeem wat erg lijkt op symmetrische encryptie met een pubieke en private key. Ik vermoed dat de servers van Frameo als proxy werken om te voorkomen dat je tegen firewall problemen aanloopt en om je lijstje eenvoudig te kunnen pairen met de app. Op een andere manier met de app koppelen is niet mogelijk (lokaal zoeken oid).

Als je de app wilt gebruiken gaat een local-only verbinding dus niet werken, maar verder is het dus goed mogelijk om je lijstje helemaal offline te gebruiken.

*Je zou nog ADB over wifi kunnen gebruiken om draadloos fotos over te kunnen zetten zonder internet. Denk echter dat je een apparaat met badbox eigenlijk uberhaupt niet met je netwerk zou moeten verbinden.

Overzetten via de app is ook de enige (praktische) manier om je fotos bij te snijden of te voorzien van een beschrijving ed. De app zet de fotos ook om in .webp formaat, teruggeschaald naar de resolutie van je lijstje om ruimte te besparen.
Dat gaat via de andere manieren niet zo makkelijk. Je kan dan enkel achteraf, op het lijstje zelf, per foto een beschrijving ed toevoegen (nogal onhandig).

Besef ook dat het niet het frameo systeem is wat het probleem is maar juist de onderliggende android asop rom. De frameo app op het lijstje heeft, zo lijkt het als ik de .apk decompile, enkele basale mechanismes voor beveiliging (zoals app whitelists ed) en heeft volledig beheer over je lijstje.

Ik zou dus ook adviseren om een geinfecteerde lijst niet meer gebruiken en retouren. Ook niet alleen offline gebruiken, je weet nooit of iemand hem in de toekomst per abuis weer aansluit.
Een product met vanuit de fabriek malware is simpelweg niet acceptabel en tenzij je een volledige rom flash kan doen ipv een OTA update, heb je nooit voldoende garantie dat je malware weg is.

Ik ben inmiddels klaar het met modden van mijn Pexar 2K; er draait FullyKioskBrowser op voor beheer op afstand en integratie met HomeAssistant en AerialViews om fotos te laten zien als je het scherm al een x aantal seconden niet aangeraakt hebt. Fotos worden daarbij geladen vanaf een smb file share. De standaard frameo interface is ook gewoon een android app (net.frameo.frame) die ik heb uitgeschakeld. Allemaal aan te sturen via HA; dus bv bij film kijken of afwezig zijn gaat t scherm uit en als er gasten zijn laat ie standaard de fotos zien ipv mijn HA dashboard.

Ik heb op mijn fotolijstje overigens geen verdachte apps/processen/open netwerkverbindingen (sockets) gevonden, ik durf wel te stellen dat iig mijn Pexar lijstje vrij is van ellende.

[ Voor 48% gewijzigd door kwibox op 07-01-2026 11:52 ]