Cục Điều tra Liên bang Mỹ (FBI) đã phát đi cảnh báo khẩn cấp về sự bùng nổ của mã độc BADBOX 2.0. Loại phần mềm độc hại này đang lây lan nhanh chóng qua hàng triệu thiết bị điện tử dân dụng kết nối Internet, từ các thiết bị phát trực tuyến giá rẻ cho đến thiết bị IoT. Mã độc BADBOX 2.0 có khả năng đánh cắp dữ liệu, mở ra quyền truy cập “backdoor” vào thiết bị của bạn, và đặc biệt là cực kỳ khó gỡ bỏ.
Botnet BADBOX 2.0 Trở Lại: Mối Đe Dọa Khó Lường
BADBOX 2.0 là phiên bản tiến hóa của mã độc BADBOX gốc, vốn được phát hiện lần đầu vào năm 2023. Mặc dù một phần của nó đã bị vô hiệu hóa bởi một cơ quan an ninh mạng Đức thông qua việc “sinkhole” các kênh liên lạc của thiết bị nhiễm, nhưng nỗ lực này chỉ làm gián đoạn chứ không loại bỏ hoàn toàn mối đe dọa.
Giờ đây, BADBOX 2.0 đã xây dựng một mạng botnet khổng lồ với hơn một triệu thiết bị. Mạng lưới này bao gồm nhiều loại thiết bị phổ biến như TV thông minh, thiết bị IoT (Internet of Things), Android TV Box, máy chiếu, máy tính bảng và nhiều hơn nữa.
Biểu đồ phân phối mã độc BADBOX 2.0 trên các thiết bị kết nối Internet, từ TV Box đến IoT
Thông báo dịch vụ công cộng của FBI về BADBOX 2.0 tiết lộ rằng hầu hết các thiết bị bị nhiễm mã độc đều được cài đặt sẵn ngay tại thời điểm bán, với phần lớn xuất xứ từ Trung Quốc. Các tin tặc có thể cài đặt phần mềm độc hại vào sản phẩm trước khi người dùng mua, hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng cần thiết có chứa “backdoor”, thường là trong quá trình thiết lập ban đầu.
Một khi thiết bị bị nhiễm kết nối với mạng của bạn, nó có thể “gọi về nhà” tới mạng lưới điều khiển, từ đó kích hoạt mã độc BADBOX 2.0. Sau khi kích hoạt, thiết bị của bạn sẽ trở thành một phần của botnet BADBOX 2.0, và có thể có rất ít dấu hiệu cho thấy có một thiết bị bị nhiễm trong nhà bạn.
Quy trình lây nhiễm của mã độc BADBOX 2.0 từ thiết bị cài sẵn đến khi thiết bị trở thành một phần của botnet
Tuy nhiên, không chỉ các thiết bị được cài đặt sẵn mới chứa mã độc BADBOX 2.0. Trong khi BADBOX gốc chủ yếu dựa vào phương pháp này, BADBOX 2.0 đã được phát hiện sử dụng các cuộc tải xuống “drive-by download” để lây nhiễm các thiết bị khác. Tương tự, mã độc này cũng đã được tích hợp vào các ứng dụng có sẵn để tải xuống trên các chợ ứng dụng Android của bên thứ ba, làm nổi bật rủi ro khi cài đặt ứng dụng Android từ nguồn không chính thống.
BADBOX 2.0 Có Thể Làm Gì Với Thiết Bị Của Bạn?
Theo Human Security, nhóm nghiên cứu bảo mật đã lần đầu tiên tiết lộ về BADBOX 2.0, mã độc tiến hóa này có một loạt các cuộc tấn công nguy hiểm và tinh vi:
- Gian lận quảng cáo có lập trình: Tự động thực hiện các hành vi gian lận trong hệ thống quảng cáo trực tuyến.
- Gian lận nhấp chuột (Click fraud): Tự động nhấp vào quảng cáo để tạo doanh thu bất hợp pháp.
- Dịch vụ proxy dân cư: Về cơ bản là bán quyền truy cập vào thiết bị kết nối Internet của bạn, sau đó có thể được sử dụng cho các cuộc tấn công khác, bao gồm:
- Chiếm quyền tài khoản (Account Takeover – ATO).
- Tạo tài khoản giả mạo.
- Tấn công từ chối dịch vụ phân tán (DDoS).
- Phân phối phần mềm độc hại.
- Đánh cắp mật khẩu dùng một lần (OTP).
Điều đáng lo ngại về BADBOX 2.0 là tất cả hoạt động này diễn ra mà không hề báo động cho người dùng. Đây không phải là loại mã độc phô trương sự hiện diện của nó; nó muốn duy trì sự im lặng càng lâu càng tốt để tối đa hóa cơ hội khai thác thiết bị và dữ liệu của bạn.
Làm Thế Nào Để Kiểm Tra và Xử Lý Mã Độc BADBOX 2.0?
Đầu tiên, nếu bạn chưa mua một Android TV Box Trung Quốc hoặc các thiết bị công nghệ kết nối Internet giá rẻ tương tự, có lẽ bạn đã an toàn. Tuy nhiên, hãy kiểm tra xem bạn có sở hữu bất kỳ thiết bị nào nằm trong danh sách nhiễm đã được Human Security công bố:
| Tên Thiết Bị | Tên Thiết Bị | Tên Thiết Bị | Tên Thiết Bị |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Tiếp theo, hãy rà soát tất cả các thiết bị kết nối Internet của bạn, bất kể nguồn gốc của chúng. Kiểm tra xem có bất kỳ chợ ứng dụng đáng ngờ nào mà bạn chưa cài đặt, các cài đặt bị thay đổi, hoặc các thay đổi khác trên thiết bị mà bạn không nhớ đã thực hiện hay không.
Đáng tiếc, việc loại bỏ BADBOX 2.0 khỏi hầu hết các thiết bị là một quá trình khó khăn bởi vì nó liên quan đến việc flash một firmware mới, sạch sẽ. Đối với nhiều Android TV Box giá rẻ và thiết bị IoT, một bản cập nhật firmware riêng biệt có thể không có sẵn. Điều này có nghĩa là bạn sẽ phải chấp nhận mất mát và loại bỏ thiết bị đó để bảo vệ mạng và dữ liệu của mình.
Kết luận: Mã độc BADBOX 2.0 là một mối đe dọa nghiêm trọng đối với quyền riêng tư và an ninh mạng của người dùng. Với khả năng lây nhiễm âm thầm và khó gỡ bỏ, nó có thể biến thiết bị thông minh của bạn thành công cụ cho các hoạt động tội phạm mạng. Hãy cực kỳ thận trọng khi mua và sử dụng các thiết bị điện tử giá rẻ không rõ nguồn gốc. Việc kiểm tra định kỳ và sẵn sàng loại bỏ các thiết bị đáng ngờ là cần thiết để bảo vệ dữ liệu và mạng lưới của bạn khỏi những nguy cơ tiềm ẩn này. Bạn đã kiểm tra thiết bị của mình chưa? Hãy chia sẻ ý kiến của bạn về vấn đề này!
