Năm ngoái, các nhà chức trách và nhà nghiên cứu đã tiến hành một số hoạt động chống lại Badbox, một mạng lưới botnet đáng gờm nhắm vào các thiết bị Android. Vào tháng 12, cảnh sát Đức đã loại bỏ thành công loại vi-rút này khỏi hơn 30.000 thiết bị Android.
Bị ngắt mạch một phần, mạng botnet đã nhanh chóng tìm ra cách phát triển bằng cách tấn công hơn 150.000 thiết bị, chủ yếu là hộp TV, điện thoại thông minh, máy tính bảng và TV giá rẻ. Đôi khi Badbox được tích hợp sẵn trong thiết bị ngay khi xuất xưởng. Trong những trường hợp khác, virus ẩn náu trong các ứng dụng độc hại.
Đối mặt với sự phát triển khủng khiếp của loại vi-rút này, Human đã quyết định gọi botnet này là Badbox 2.0. Việc đổi tên này cũng phản ánh sự thay đổi trong kho virus mà tin tặc sử dụng. Hiện nay, chúng ngày càng sử dụng nhiều phần mềm độc hại ẩn trong phần mềm được chia sẻ trên các nền tảng hợp pháp như một cổng kết nối.
Đúng với phương thức hoạt động của mình, Badbox 2.0 vẫn nhắm vào các thiết bị giá rẻ, chẳng hạn như máy tính bảng, máy chiếu kỹ thuật số và hộp Android TV. Badbox hiện cũng đang được triển khai trên màn hình và thiết bị đa phương tiện dành cho ô tô. Một lần nữa, các mục tiêu này được phân biệt bởi mức giá thấp.
Theo cuộc điều tra do Human tiến hành, có một số nhóm tội phạm tham gia vào hoạt động Badbox. Đây là một cuộc tấn công tội phạm quy mô lớn. Sau khi cài đặt Badbox vào thiết bị, nó sẽ đợi người dùng bật thiết bị để có thể kết nối với mạng. Sau đó, nó sẽ tải xuống và cài đặt một mô-đun được thiết kế riêng để lừa đảo trên thiết bị bị nhiễm. Phần mềm độc hại này đặc biệt chuyên thực hiện gian lận quảng cáo. Virus này lợi dụng điều này để thu thập một lượng lớn dữ liệu cá nhân của nạn nhân.
Trên hết, nó sử dụng thiết bị bị xâm phạm làm máy chủ proxy. Tội phạm mạng có thể sử dụng thiết bị đầu cuối bị nhiễm trong các cuộc tấn công mạng hoặc lừa đảo. Tóm lại, tin tặc có thể định tuyến lưu lượng truy cập Internet của mình qua những máy này, do đó che giấu được danh tính thực sự của mình.
Cùng lúc đó, các nhà nghiên cứu phát hiện dấu vết của Badbox 2.0 trên Play Store. Ẩn trong mã của 24 ứng dụng Android, loại virus này đã xâm nhập vào hàng trăm nghìn điện thoại thông minh Android. Một số ứng dụng gian lận có hơn 50.000 lượt tải xuống. Được các chuyên gia cảnh báo, Google đã nhanh chóng xóa tất cả các ứng dụng khỏi cửa hàng của mình. Nhóm đã tận dụng cơ hội này để tăng cường Play Protect để có thể phát hiện các ứng dụng được liên kết với Badbox.
Bất chấp những nỗ lực của Human và các đối tác, Badbox vẫn chưa chết. Mạng botnet này kiểm soát hàng trăm nghìn thiết bị Android trên toàn thế giới. Để ghi lại, Badbox lần đầu tiên được phát hiện vào năm 2023 trên một hộp Android TV được bán trên Amazon.
Nguồn: Human
Bị ngắt mạch một phần, mạng botnet đã nhanh chóng tìm ra cách phát triển bằng cách tấn công hơn 150.000 thiết bị, chủ yếu là hộp TV, điện thoại thông minh, máy tính bảng và TV giá rẻ. Đôi khi Badbox được tích hợp sẵn trong thiết bị ngay khi xuất xưởng. Trong những trường hợp khác, virus ẩn náu trong các ứng dụng độc hại.
Sự xuất hiện của Badbox 2.0
Như các nhà nghiên cứu Human chỉ ra, botnet đã liên tục phát triển trong những tháng gần đây. Nó đã lây nhiễm cho hơn một triệu thiết bị Android ở 222 quốc gia khác nhau, bao gồm Brazil, Hoa Kỳ, Mexico và Argentina. Theo nhà nghiên cứu Fyodor Yarochkin, đây "chỉ là một phần trong số các thiết bị hiện đang được kết nối với nền tảng của họ". Nếu chúng ta tính đến "tất cả các thiết bị có thể lưu trữ dữ liệu của chúng, con số này có thể sẽ vượt quá vài triệu."Đối mặt với sự phát triển khủng khiếp của loại vi-rút này, Human đã quyết định gọi botnet này là Badbox 2.0. Việc đổi tên này cũng phản ánh sự thay đổi trong kho virus mà tin tặc sử dụng. Hiện nay, chúng ngày càng sử dụng nhiều phần mềm độc hại ẩn trong phần mềm được chia sẻ trên các nền tảng hợp pháp như một cổng kết nối.
Đúng với phương thức hoạt động của mình, Badbox 2.0 vẫn nhắm vào các thiết bị giá rẻ, chẳng hạn như máy tính bảng, máy chiếu kỹ thuật số và hộp Android TV. Badbox hiện cũng đang được triển khai trên màn hình và thiết bị đa phương tiện dành cho ô tô. Một lần nữa, các mục tiêu này được phân biệt bởi mức giá thấp.
Tại sao Google lại bất lực
Không phải tất cả các thiết bị này đều được Google chứng nhận, theo Human. Chúng chạy trên Dự án nguồn mở Android, phiên bản nguồn mở của hệ điều hành và tất cả đều được sản xuất tại Trung Quốc đại lục. Khi được Bleeping Computer liên hệ, Google đã nhắc lại rằng "các thiết bị bị nhiễm là thiết bị của Dự án nguồn mở Android, không phải thiết bị Android TV OS hoặc thiết bị Android được chứng nhận Play Protect.".Theo cuộc điều tra do Human tiến hành, có một số nhóm tội phạm tham gia vào hoạt động Badbox. Đây là một cuộc tấn công tội phạm quy mô lớn. Sau khi cài đặt Badbox vào thiết bị, nó sẽ đợi người dùng bật thiết bị để có thể kết nối với mạng. Sau đó, nó sẽ tải xuống và cài đặt một mô-đun được thiết kế riêng để lừa đảo trên thiết bị bị nhiễm. Phần mềm độc hại này đặc biệt chuyên thực hiện gian lận quảng cáo. Virus này lợi dụng điều này để thu thập một lượng lớn dữ liệu cá nhân của nạn nhân.
Trên hết, nó sử dụng thiết bị bị xâm phạm làm máy chủ proxy. Tội phạm mạng có thể sử dụng thiết bị đầu cuối bị nhiễm trong các cuộc tấn công mạng hoặc lừa đảo. Tóm lại, tin tặc có thể định tuyến lưu lượng truy cập Internet của mình qua những máy này, do đó che giấu được danh tính thực sự của mình.
Cuộc tấn công vào Badbox
Với sự hỗ trợ của các đối tác như Google, Trend Micro và The Shadowserver Foundation, Human đã triển khai một chiến dịch lớn để vượt qua phần mềm độc hại. Họ đã chặn được hơn 500.000 thiết bị bị nhiễm. Cụ thể hơn, các nhà nghiên cứu đã cắt đứt liên lạc giữa các thiết bị và máy chủ chỉ huy và điều khiển của tội phạm mạng. Trên thực tế, Badbox không còn nhận được hướng dẫn từ tin tặc nữa. Sau đó, nó trở nên không hoạt động.Cùng lúc đó, các nhà nghiên cứu phát hiện dấu vết của Badbox 2.0 trên Play Store. Ẩn trong mã của 24 ứng dụng Android, loại virus này đã xâm nhập vào hàng trăm nghìn điện thoại thông minh Android. Một số ứng dụng gian lận có hơn 50.000 lượt tải xuống. Được các chuyên gia cảnh báo, Google đã nhanh chóng xóa tất cả các ứng dụng khỏi cửa hàng của mình. Nhóm đã tận dụng cơ hội này để tăng cường Play Protect để có thể phát hiện các ứng dụng được liên kết với Badbox.
Bất chấp những nỗ lực của Human và các đối tác, Badbox vẫn chưa chết. Mạng botnet này kiểm soát hàng trăm nghìn thiết bị Android trên toàn thế giới. Để ghi lại, Badbox lần đầu tiên được phát hiện vào năm 2023 trên một hộp Android TV được bán trên Amazon.
Nguồn: Human
