Cục Điều tra Liên bang Mỹ (FBI) vừa đưa ra cảnh báo về sự bùng phát mạnh mẽ của mã độc BADBOX 2.0 trên các thiết bị điện tử dân dụng kết nối internet, lây nhiễm hàng triệu sản phẩm. Mã độc này, thường được cài sẵn trên các thiết bị phát trực tuyến giá rẻ và thiết bị IoT, có khả năng đánh cắp dữ liệu cá nhân và tạo ra cửa hậu (backdoor) truy cập vào thiết bị của bạn. Điều đáng lo ngại là việc gỡ bỏ BADBOX 2.0 vô cùng khó khăn, gây ra mối đe dọa nghiêm trọng cho an ninh mạng gia đình.
BADBOX 2.0: Mối Đe Dọa Botnet Toàn Cầu Trở Lại
BADBOX 2.0 là phiên bản nâng cấp của mã độc BADBOX gốc, được phát hiện lần đầu vào năm 2023. Mặc dù một phần của BADBOX đã bị cơ quan an ninh mạng Đức vô hiệu hóa thông qua kỹ thuật “sinkhole” để làm gián đoạn liên lạc giữa các thiết bị bị nhiễm, nhưng nó không bị loại bỏ hoàn toàn. Giờ đây, BADBOX 2.0 đã phát triển thành một mạng botnet khổng lồ, bao gồm hơn một triệu thiết bị đa dạng như TV thông minh, thiết bị IoT, box phát trực tuyến, máy chiếu, máy tính bảng và nhiều loại khác.
Sơ đồ phân phối mã độc BADBOX 2.0 và quy mô lây nhiễm
Thông báo dịch vụ công cộng của FBI về BADBOX 2.0 tiết lộ rằng hầu hết các thiết bị đã bị nhiễm mã độc ngay tại thời điểm bán hàng, với phần lớn xuất xứ từ Trung Quốc. Các nhóm tội phạm mạng có thể chiếm quyền truy cập trái phép vào mạng gia đình bạn bằng cách cấu hình sẵn phần mềm độc hại trong sản phẩm trước khi người dùng mua, hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng cần thiết có chứa cửa hậu, thường là trong quá trình cài đặt ban đầu.
Một khi thiết bị bị nhiễm kết nối với mạng của bạn, nó có thể “gọi về nhà” đến mạng điều khiển, từ đó kích hoạt mã độc BADBOX 2.0. Khi được kích hoạt, thiết bị của bạn sẽ trở thành một phần của botnet BADBOX 2.0, và có thể có rất ít dấu hiệu cho thấy bạn đang sở hữu một thiết bị bị nhiễm trong nhà.
Quy trình lây nhiễm của mã độc BADBOX 2.0 vào các thiết bị
Tuy nhiên, không chỉ các thiết bị cài sẵn mới chứa mã độc BADBOX 2.0. Trong khi phiên bản BADBOX trước đây chủ yếu dựa vào phương pháp này, BADBOX 2.0 còn được phát hiện sử dụng các lượt tải xuống ngầm (drive-by downloads) để lây nhiễm sang các thiết bị khác. Tương tự, mã độc này cũng đã được đóng gói trong các ứng dụng có sẵn để tải xuống trên các chợ ứng dụng Android của bên thứ ba, điều này lý giải vì sao việc cài đặt ứng dụng Android từ nguồn không chính thống (sideloading) tiềm ẩn nhiều rủi ro.
BADBOX 2.0 Làm Gì Với Thiết Bị Của Bạn?
Theo Human Security, nhóm nghiên cứu bảo mật đã phát hiện ra BADBOX 2.0, phiên bản mã độc cải tiến này có khả năng thực hiện hàng loạt các cuộc tấn công nguy hiểm và tinh vi:
- Lừa đảo quảng cáo lập trình (Programmatic ad fraud): Tạo ra các lượt xem và nhấp chuột giả mạo vào quảng cáo, gây thiệt hại cho nhà quảng cáo.
- Lừa đảo nhấp chuột (Click fraud): Tương tự, tự động nhấp vào các liên kết hoặc quảng cáo mà không có sự tương tác của người dùng.
- Dịch vụ proxy dân cư (Residential proxy services): Về cơ bản là bán quyền truy cập vào thiết bị kết nối internet của bạn, sau đó có thể được sử dụng cho các cuộc tấn công khác như:
- Chiếm đoạt tài khoản (Account takeover – ATO): Sử dụng thiết bị của bạn làm cầu nối để truy cập trái phép vào các tài khoản khác.
- Tạo tài khoản giả mạo: Tạo ra hàng loạt tài khoản ảo để phục vụ các mục đích độc hại.
- Tấn công từ chối dịch vụ phân tán (DDoS): Sử dụng thiết bị của bạn như một phần của mạng botnet để làm quá tải máy chủ mục tiêu.
- Phân phối mã độc: Sử dụng thiết bị của bạn để phát tán các loại mã độc khác.
- Đánh cắp mật khẩu một lần (OTP): Can thiệp để lấy cắp các mã xác thực dùng một lần, vượt qua lớp bảo mật.
Điều khiến BADBOX 2.0 đáng lo ngại là tất cả các hoạt động này diễn ra mà không hề báo động cho người dùng. Đây không phải là loại mã độc gây ra các dấu hiệu rõ ràng; nó muốn duy trì sự im lặng càng lâu càng tốt để tối đa hóa cơ hội khai thác thiết bị và dữ liệu của bạn.
Cách Kiểm Tra và Phòng Ngừa Malware BADBOX 2.0
Trước tiên, nếu bạn chưa từng mua một box phát trực tuyến hoặc các thiết bị công nghệ kết nối internet giá rẻ không rõ nguồn gốc, đặc biệt là từ Trung Quốc, khả năng cao bạn an toàn. Tuy nhiên, hãy kiểm tra xem bạn có sở hữu bất kỳ thiết bị nào trong danh sách bị nhiễm của Human Security dưới đây không:
| Tên thiết bị | Tên thiết bị | Tên thiết bị | Tên thiết bị |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Tiếp theo, hãy rà soát lại tất cả các thiết bị kết nối internet của bạn, bất kể nguồn gốc của chúng. Kiểm tra xem có bất kỳ chợ ứng dụng đáng ngờ nào bạn chưa từng cài đặt, cài đặt bị thay đổi, hoặc các thay đổi khác trên thiết bị mà bạn không nhớ đã thực hiện hay không.
Thật không may, việc loại bỏ BADBOX 2.0 khỏi hầu hết các thiết bị là một quá trình cực kỳ khó khăn, vì nó thường liên quan đến việc flash một firmware mới, sạch. Đối với nhiều box phát trực tuyến và thiết bị IoT giá rẻ, một bản cập nhật firmware riêng biệt có thể không có sẵn. Điều này có nghĩa là bạn có thể phải chấp nhận mất mát và loại bỏ thiết bị đó để bảo vệ mạng và dữ liệu của mình khỏi nguy cơ bị xâm phạm.
Hãy luôn ưu tiên mua các thiết bị công nghệ từ những nhà cung cấp uy tín và thận trọng với những sản phẩm giá rẻ bất thường để tránh trở thành nạn nhân của các mã độc nguy hiểm như BADBOX 2.0. Đừng quên theo dõi các bản tin bảo mật mới nhất trên thuthuatdidong.net để cập nhật thông tin và bảo vệ thiết bị của bạn!
