Cục Điều tra Liên bang Hoa Kỳ (FBI) đã phát đi cảnh báo về sự bùng nổ của mã độc BADBOX 2.0, lây nhiễm hàng triệu thiết bị điện tử dân dụng có kết nối internet. Phần mềm độc hại này, thường được cài đặt sẵn trên các thiết bị truyền phát trực tuyến giá rẻ và thiết bị IoT, có khả năng đánh cắp dữ liệu, tạo cửa hậu (backdoor) truy cập vào thiết bị và cực kỳ khó loại bỏ. Đây là mối đe dọa nghiêm trọng mà người dùng Việt Nam cần đặc biệt lưu tâm để bảo vệ thông tin cá nhân và an ninh mạng gia đình.
BADBOX 2.0 Botnet: Mối đe dọa âm thầm trở lại
BADBOX 2.0 là phiên bản nâng cấp của mã độc BADBOX ban đầu, lần đầu được phát hiện vào năm 2023. Mặc dù một phần của mạng lưới này đã bị một cơ quan an ninh mạng Đức gỡ bỏ bằng cách chuyển hướng kết nối giữa các thiết bị bị nhiễm, điều này chỉ làm gián đoạn chứ không loại bỏ hoàn toàn mã độc.
Hiện tại, BADBOX 2.0 đã xây dựng một mạng botnet khổng lồ gồm hơn một triệu thiết bị, bao gồm TV thông minh (smart TV), thiết bị IoT, hộp truyền phát (streaming box), máy chiếu, máy tính bảng và nhiều loại khác.
Mô tả quá trình phân phối mã độc BADBOX 2.0 đến các thiết bị điện tử dân dụng. Nguồn: Human Security
Thông báo dịch vụ công cộng của FBI về BADBOX 2.0 tiết lộ rằng hầu hết các thiết bị đã bị nhiễm mã độc ngay từ khâu bán hàng, với phần lớn nguồn gốc từ Trung Quốc.
Tội phạm mạng có được quyền truy cập trái phép vào mạng gia đình bằng cách cấu hình sản phẩm với phần mềm độc hại trước khi người dùng mua, hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng bắt buộc có chứa cửa hậu, thường là trong quá trình cài đặt.
Một khi bạn kết nối một thiết bị bị nhiễm vào mạng của mình, nó có thể “gọi về nhà” đến mạng lưới điều khiển, từ đó kích hoạt mã độc BADBOX 2.0. Khi đã được kích hoạt, thiết bị của bạn sẽ trở thành một phần của botnet BADBOX 2.0 và có thể có rất ít dấu hiệu cho thấy thiết bị đã bị lây nhiễm.
Minh họa chi tiết quy trình lây nhiễm của mã độc BADBOX 2.0 vào hệ thống mạng gia đình. Nguồn: Human Security
Tuy nhiên, không chỉ các thiết bị được cài đặt sẵn mới chứa mã độc BADBOX 2.0. Trong khi phiên bản BADBOX trước đây chủ yếu dựa vào phương pháp này, BADBOX 2.0 đã được phát hiện sử dụng các lượt tải xuống ngầm (drive-by downloads) để lây nhiễm các thiết bị khác. Tương tự, mã độc này cũng đã được đóng gói vào các ứng dụng có sẵn để tải xuống trên các chợ ứng dụng Android của bên thứ ba. Đây chính là lý do vì sao việc cài đặt ứng dụng Android từ nguồn không chính thức (sideloading) lại tiềm ẩn nhiều nguy hiểm.
BADBOX 2.0 thực hiện những gì trên thiết bị của bạn?
Theo Human Security, nhóm nghiên cứu bảo mật lần đầu tiên tiết lộ về BADBOX 2.0, mã độc được cải tiến này có một loạt các cuộc tấn công nguy hiểm và tinh vi:
- Gian lận quảng cáo theo chương trình (Programmatic ad fraud): Sử dụng thiết bị của bạn để tạo ra lượt xem hoặc nhấp chuột giả mạo vào quảng cáo, mang lại lợi nhuận bất chính cho kẻ tấn công.
- Gian lận nhấp chuột (Click fraud): Tương tự như trên, nhưng tập trung vào việc tạo ra các lượt nhấp chuột giả mạo.
- Dịch vụ proxy dân cư (Residential proxy services): Về cơ bản là bán quyền truy cập vào thiết bị kết nối internet của bạn. Quyền truy cập này sau đó có thể được sử dụng cho các cuộc tấn công khác, bao gồm:
- Chiếm đoạt tài khoản (Account Takeover – ATO): Truy cập trái phép vào tài khoản trực tuyến của người dùng.
- Tạo tài khoản giả mạo (Fake account creation): Tạo hàng loạt tài khoản giả mạo trên các nền tảng.
- Tấn công từ chối dịch vụ phân tán (DDoS): Sử dụng thiết bị của bạn để tham gia vào các cuộc tấn công làm quá tải máy chủ.
- Phân phối mã độc (Malware distribution): Lây lan các phần mềm độc hại khác đến các thiết bị khác.
- Đánh cắp mật khẩu dùng một lần (One-time password – OTP theft): Đánh cắp mã OTP để truy cập vào các dịch vụ cần xác thực hai yếu tố.
Điều khiến BADBOX 2.0 đáng lo ngại là tất cả các hoạt động này diễn ra mà không hề cảnh báo bạn. Đây không phải là loại mã độc gây ra các dấu hiệu rõ ràng về sự hiện diện của nó; nó muốn hoạt động âm thầm càng lâu càng tốt để tối đa hóa cơ hội khai thác thiết bị và dữ liệu của bạn.
Làm thế nào để kiểm tra và đối phó với BADBOX 2.0?
Đầu tiên, nếu bạn chưa mua hộp truyền phát trực tuyến hoặc các thiết bị công nghệ kết nối internet khác có xuất xứ từ Trung Quốc, bạn có thể khá an toàn. Tuy nhiên, hãy kiểm tra xem bạn có sở hữu bất kỳ thiết bị nào trong số các mẫu bị nhiễm dưới đây hay không, theo bảng của Human Security:
| Tên mẫu thiết bị | Tên mẫu thiết bị | Tên mẫu thiết bị | Tên mẫu thiết bị |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Tiếp theo, hãy thực hiện kiểm tra tổng thể tất cả các thiết bị kết nối internet của bạn, bất kể nguồn gốc. Tìm kiếm các chợ ứng dụng đáng ngờ mà bạn không cài đặt, các cài đặt bị thay đổi, hoặc bất kỳ thay đổi nào khác trên thiết bị mà bạn không nhớ đã thực hiện.
Thật không may, việc loại bỏ BADBOX 2.0 khỏi hầu hết các thiết bị là một quá trình khó khăn vì nó liên quan đến việc flash một firmware mới, “sạch”. Đối với nhiều hộp truyền phát giá rẻ và thiết bị IoT, bản cập nhật firmware riêng biệt có thể không có sẵn. Điều này có nghĩa là bạn sẽ phải chấp nhận mất mát và loại bỏ thiết bị đó để bảo vệ mạng và dữ liệu của mình.
Tài liệu tham khảo:
