Cục Điều tra Liên bang Mỹ (FBI) đã ban hành cảnh báo về sự bùng phát mạnh mẽ của malware BADBOX 2.0 trong các thiết bị điện tử tiêu dùng gia đình, lây nhiễm hàng triệu thiết bị kết nối internet. Loại phần mềm độc hại này, thường được cài đặt sẵn trên các thiết bị streaming giá rẻ và thiết bị IoT, có khả năng đánh cắp dữ liệu và tạo ra quyền truy cập cửa sau vào thiết bị – điều đáng lo ngại là nó cực kỳ khó loại bỏ.
Sự Trở Lại Đáng Báo Động Của Botnet BADBOX 2.0
BADBOX 2.0 là phiên bản nâng cấp của malware BADBOX gốc. Phần mềm độc hại này được xác định lần đầu tiên vào năm 2023, mặc dù đã bị cơ quan an ninh mạng Đức gỡ bỏ một phần bằng cách “sinkhole” giao tiếp giữa các thiết bị bị nhiễm. Hành động này đã làm gián đoạn malware nhưng không loại bỏ hoàn toàn nó.
Hiện tại, BADBOX 2.0 đã xây dựng một mạng lưới botnet khổng lồ gồm hơn một triệu thiết bị, bao gồm TV thông minh, thiết bị IoT, hộp streaming, máy chiếu, máy tính bảng và nhiều loại khác.
Sơ đồ minh họa mô hình phân phối và lây nhiễm của malware BADBOX 2.0 trên các thiết bị điện tử tiêu dùng kết nối internet như TV thông minh, thiết bị IoT và hộp giải mã tín hiệu số.
Thông báo dịch vụ công cộng của FBI về BADBOX 2.0 tiết lộ rằng hầu hết các thiết bị bị nhiễm malware ngay tại điểm bán, với phần lớn xuất xứ từ Trung Quốc.
Tội phạm mạng giành quyền truy cập trái phép vào mạng gia đình bằng cách cấu hình sản phẩm với phần mềm độc hại trước khi người dùng mua hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng cần thiết có chứa cửa sau, thường là trong quá trình cài đặt.
Một khi bạn kết nối một thiết bị bị nhiễm vào mạng của mình, nó có thể “gọi về nhà” (phone home) tới mạng điều khiển, sau đó kích hoạt malware BADBOX 2.0. Khi đã được kích hoạt, thiết bị của bạn sẽ trở thành một phần của botnet BADBOX 2.0 và có thể có rất ít dấu hiệu cho thấy bạn đang có một thiết bị bị nhiễm trong nhà.
Biểu đồ mô tả chi tiết quy trình lây nhiễm của BADBOX 2.0, từ khi thiết bị được cài đặt sẵn phần mềm độc hại cho đến khi chúng kết nối với mạng và trở thành một phần của mạng lưới botnet.
Tuy nhiên, không chỉ các thiết bị được cài đặt sẵn chứa malware BADBOX 2.0. Trong khi BADBOX gốc chủ yếu dựa vào phương pháp này, BADBOX 2.0 đã được phát hiện sử dụng các phương thức tải xuống không mong muốn (drive-by downloads) để lây nhiễm các thiết bị khác. Tương tự, malware này cũng đã được tích hợp vào các ứng dụng có sẵn để tải xuống trên các chợ ứng dụng Android của bên thứ ba. Đây là lý do tại sao việc cài đặt ứng dụng Android từ nguồn không xác định (sideloading) lại tiềm ẩn nhiều nguy hiểm.
BADBOX 2.0 Gây Ra Những Tác Hại Gì?
Theo Human Security, nhóm nghiên cứu bảo mật đã lần đầu tiên tiết lộ BADBOX 2.0, phần mềm độc hại được phát triển này có một loạt các cuộc tấn công nguy hiểm và tinh vi:
- Gian lận quảng cáo theo chương trình (Programmatic ad fraud): Tạo ra lượt xem hoặc nhấp chuột giả mạo để lừa tiền từ nhà quảng cáo.
- Gian lận nhấp chuột (Click fraud): Tương tự, tạo ra các nhấp chuột giả mạo trên quảng cáo.
- Dịch vụ proxy dân cư (Residential proxy services): Về cơ bản là bán quyền truy cập vào thiết bị kết nối internet của bạn, sau đó có thể được sử dụng cho các cuộc tấn công bổ sung như:
- Chiếm đoạt tài khoản (Account takeover – ATO): Truy cập trái phép vào các tài khoản trực tuyến của người dùng.
- Tạo tài khoản giả mạo (Fake account creation): Tạo hàng loạt tài khoản giả mạo trên các nền tảng.
- Tấn công từ chối dịch vụ phân tán (DDoS): Sử dụng thiết bị của bạn để tấn công làm quá tải máy chủ đích.
- Phân phối malware (Malware distribution): Lan truyền thêm các phần mềm độc hại khác.
- Đánh cắp mật khẩu dùng một lần (One-time password – OTP theft): Can thiệp vào quy trình xác thực hai yếu tố.
Điều khiến BADBOX 2.0 đáng lo ngại là tất cả các hoạt động này diễn ra mà không hề cảnh báo cho bạn. Đây không phải là loại malware gây ra sự chú ý; nó muốn duy trì sự im lặng càng lâu càng tốt để tối đa hóa cơ hội khai thác thiết bị và dữ liệu của bạn.
Cách Nhận Biết Thiết Bị Nhiễm BADBOX 2.0
Đầu tiên, nếu bạn chưa mua một hộp streaming hoặc các thiết bị công nghệ kết nối internet giá rẻ không rõ nguồn gốc (đặc biệt từ Trung Quốc), khả năng cao bạn an toàn. Tuy nhiên, hãy kiểm tra xem bạn có sở hữu bất kỳ thiết bị nào bị nhiễm theo danh sách của Human Security dưới đây:
| Model Thiết Bị | Model Thiết Bị | Model Thiết Bị | Model Thiết Bị |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Tiếp theo, hãy rà soát lại tất cả các thiết bị kết nối internet của bạn, bất kể nguồn gốc của chúng. Kiểm tra xem có bất kỳ chợ ứng dụng đáng ngờ nào mà bạn không cài đặt, cài đặt bị thay đổi, hoặc các thay đổi khác trên thiết bị mà bạn không nhớ đã thực hiện hay không.
Rất tiếc, việc loại bỏ BADBOX 2.0 khỏi hầu hết các thiết bị là một quá trình khó khăn vì nó liên quan đến việc flash một firmware mới, sạch. Đối với nhiều hộp streaming và thiết bị IoT giá rẻ, bản cập nhật firmware riêng biệt có thể không có sẵn. Điều này có nghĩa là bạn sẽ phải chấp nhận mất mát và loại bỏ thiết bị đó để bảo vệ mạng và dữ liệu của mình.
Tài liệu tham khảo:
