Cục Điều tra Liên bang Mỹ (FBI) vừa đưa ra cảnh báo khẩn cấp về sự bùng phát của mã độc BADBOX 2.0, đang lây nhiễm hàng triệu thiết bị điện tử dân dụng có kết nối internet. Loại mã độc nguy hiểm này, thường được cài đặt sẵn trên các thiết bị truyền phát trực tuyến giá rẻ và thiết bị IoT, có khả năng đánh cắp dữ liệu cá nhân và tạo ra một cửa hậu truy cập trái phép vào thiết bị của bạn. Điều đáng lo ngại là BADBOX 2.0 cực kỳ khó gỡ bỏ, đặt ra thách thức lớn về an ninh mạng cho người dùng phổ thông.
Botnet BADBOX 2.0 Trở Lại: Mối Đe Dọa Khó Lường
BADBOX 2.0 là phiên bản tiến hóa của mã độc BADBOX gốc, vốn lần đầu tiên được phát hiện vào năm 2023. Mặc dù từng bị một cơ quan an ninh mạng của Đức can thiệp và làm gián đoạn liên lạc giữa các thiết bị nhiễm, điều này chỉ làm suy yếu chứ không loại bỏ hoàn toàn mối đe dọa.
Phân bố mã độc BADBOX 2.0 trên các thiết bị
Hiện tại, BADBOX 2.0 đã xây dựng một mạng botnet khổng lồ gồm hơn một triệu thiết bị, bao gồm TV thông minh, thiết bị IoT, hộp truyền phát (streaming box), máy chiếu, máy tính bảng và nhiều loại khác. Thông báo dịch vụ công cộng của FBI về BADBOX 2.0 tiết lộ rằng hầu hết các thiết bị này đã bị nhiễm mã độc từ trước khi được bán ra, với phần lớn đến từ Trung Quốc.
Kẻ gian mạng có thể truy cập trái phép vào mạng gia đình của bạn bằng cách cấu hình sẵn phần mềm độc hại trên sản phẩm trước khi người dùng mua, hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng cần thiết có chứa backdoor, thường trong quá trình thiết lập ban đầu. Ngay khi bạn kết nối một thiết bị bị nhiễm vào mạng của mình, nó có thể “liên lạc về nhà” với mạng điều khiển, từ đó kích hoạt mã độc BADBOX 2.0. Một khi được kích hoạt, thiết bị của bạn sẽ trở thành một phần của botnet BADBOX 2.0, và thường không có dấu hiệu rõ ràng nào cho thấy thiết bị đã bị nhiễm trong nhà bạn.
Quy trình lây nhiễm mã độc BADBOX 2.0
Tuy nhiên, không chỉ các thiết bị cài đặt sẵn mới chứa mã độc BADBOX 2.0. Nếu BADBOX phiên bản gốc chủ yếu dựa vào phương pháp này, thì BADBOX 2.0 đã được phát hiện sử dụng các cuộc tải xuống tự động (drive-by downloads) để lây nhiễm các thiết bị khác. Tương tự, mã độc này cũng được đóng gói cùng các ứng dụng có sẵn để tải về trên các chợ ứng dụng Android của bên thứ ba. Đây chính là lý do vì sao việc cài đặt ứng dụng Android từ nguồn không chính thức lại tiềm ẩn nhiều nguy hiểm.
BADBOX 2.0 Làm Gì Với Thiết Bị Của Bạn?
Theo Human Security, nhóm nghiên cứu bảo mật đã phát hiện ra BADBOX 2.0, phiên bản mã độc đã tiến hóa này có khả năng thực hiện nhiều cuộc tấn công nguy hiểm và tinh vi:
- Gian lận quảng cáo lập trình (Programmatic ad fraud): Tạo ra các lượt hiển thị và nhấp chuột quảng cáo giả mạo để trục lợi.
- Gian lận nhấp chuột (Click fraud): Tương tự, tạo ra các nhấp chuột giả mạo vào quảng cáo.
- Dịch vụ proxy dân cư (Residential proxy services): Về cơ bản là bán quyền truy cập vào thiết bị có kết nối internet của bạn, sau đó thiết bị này có thể được sử dụng cho các cuộc tấn công khác như:
- Chiếm đoạt tài khoản (Account Takeover – ATO): Sử dụng thiết bị của bạn làm điểm xuất phát để truy cập trái phép vào các tài khoản trực tuyến của người khác.
- Tạo tài khoản giả: Đăng ký hàng loạt tài khoản giả mạo trên các nền tảng dịch vụ.
- Tấn công DDoS: Biến thiết bị của bạn thành một phần của mạng botnet để thực hiện các cuộc tấn công từ chối dịch vụ phân tán.
- Phân phối mã độc: Sử dụng thiết bị để lây lan các loại mã độc khác.
- Trộm mã OTP (One-Time Password): Đánh cắp mã xác thực một lần, làm suy yếu bảo mật tài khoản.
Điều khiến BADBOX 2.0 trở nên đáng lo ngại là tất cả các hoạt động này diễn ra mà không hề cảnh báo cho người dùng. Đây không phải là loại mã độc gây ra các dấu hiệu rõ ràng về sự hiện diện của nó; nó muốn duy trì sự im lặng càng lâu càng tốt để tối đa hóa cơ hội khai thác thiết bị và dữ liệu của bạn.
Làm Thế Nào Để Kiểm Tra và Bảo Vệ Thiết Bị Khỏi BADBOX 2.0?
Đầu tiên, nếu bạn chưa từng mua một hộp truyền phát Trung Quốc hay bất kỳ thiết bị công nghệ kết nối internet giá rẻ nào không rõ nguồn gốc, khả năng cao là bạn an toàn. Tuy nhiên, hãy kiểm tra xem bạn có sở hữu bất kỳ thiết bị nào nằm trong danh sách bị nhiễm của Human Security dưới đây không:
| Tên Model Thiết Bị | Tên Model Thiết Bị | Tên Model Thiết Bị | Tên Model Thiết Bị |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Tiếp theo, hãy thực hiện một đánh giá toàn diện tất cả các thiết bị kết nối internet của bạn, bất kể nguồn gốc của chúng. Hãy kiểm tra các chợ ứng dụng đáng ngờ mà bạn không nhớ đã cài đặt, các cài đặt đã bị thay đổi, và bất kỳ sự thay đổi nào khác trên thiết bị mà bạn không thực hiện.
Đáng tiếc, việc loại bỏ BADBOX 2.0 khỏi hầu hết các thiết bị là một quá trình khó khăn bởi vì nó liên quan đến việc flash một firmware mới, sạch. Đối với nhiều hộp truyền phát và thiết bị IoT giá rẻ, có thể không có bản cập nhật firmware riêng biệt. Điều này có nghĩa là bạn sẽ phải chấp nhận mất mát và loại bỏ thiết bị đó để bảo vệ mạng và dữ liệu của mình khỏi nguy cơ bị xâm nhập.
Mã độc BADBOX 2.0 là một minh chứng rõ ràng cho thấy nguy cơ tiềm ẩn từ các thiết bị điện tử giá rẻ, không rõ nguồn gốc. Việc cảnh giác và thường xuyên kiểm tra các thiết bị kết nối internet trong nhà là vô cùng quan trọng để bảo vệ dữ liệu cá nhân và an toàn mạng của bạn. Hãy chia sẻ thông tin hữu ích này đến bạn bè và gia đình để cùng nhau nâng cao nhận thức về an ninh mạng!
