Cục Điều tra Liên bang Mỹ (FBI) đã đưa ra cảnh báo khẩn cấp về sự bùng nổ của phần mềm độc hại BADBOX 2.0, đang tràn lan qua các thiết bị điện tử dân dụng kết nối internet và lây nhiễm hàng triệu sản phẩm. Loại malware này, thường được cài đặt sẵn trên các phần cứng phát trực tuyến giá rẻ và thiết bị IoT, có khả năng đánh cắp dữ liệu cá nhân của bạn và cung cấp quyền truy cập backdoor vào thiết bị. Điều đáng lo ngại nhất là BADBOX 2.0 cực kỳ khó gỡ bỏ, đặt ra thách thức lớn về an ninh mạng cho người dùng công nghệ tại Việt Nam.
BADBOX 2.0: Mối hiểm họa trở lại từ botnet hàng triệu thiết bị
BADBOX 2.0 là phiên bản nâng cấp của malware BADBOX gốc, lần đầu tiên được phát hiện vào năm 2023. Mặc dù đã từng bị một cơ quan an ninh mạng của Đức vô hiệu hóa một phần thông qua việc chuyển hướng liên lạc giữa các thiết bị bị nhiễm, nhưng mối đe dọa này chưa bao giờ bị loại bỏ hoàn toàn. Giờ đây, BADBOX 2.0 đã trở lại mạnh mẽ hơn bao giờ hết, xây dựng một mạng botnet khổng lồ với hơn một triệu thiết bị đã bị nhiễm trên toàn cầu.
Các thiết bị nằm trong tầm ngắm của BADBOX 2.0 rất đa dạng, bao gồm TV thông minh, thiết bị IoT (Internet of Things), hộp streaming box, máy chiếu, máy tính bảng và nhiều sản phẩm điện tử tiêu dùng khác. Thông báo dịch vụ công cộng của FBI về BADBOX 2.0 tiết lộ một thực tế đáng báo động: hầu hết các thiết bị này đã bị cài đặt sẵn phần mềm độc hại ngay tại thời điểm bán ra thị trường, với đa số sản phẩm có nguồn gốc từ Trung Quốc.
FBI cảnh báo: “Tội phạm mạng giành quyền truy cập trái phép vào mạng gia đình bằng cách cấu hình sản phẩm với phần mềm độc hại trước khi người dùng mua hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng cần thiết có chứa cửa hậu, thường là trong quá trình cài đặt.”
Một khi bạn kết nối một thiết bị bị nhiễm vào mạng của mình, nó có thể “gọi về nhà” đến mạng điều khiển của kẻ tấn công, từ đó kích hoạt malware BADBOX 2.0. Khi được kích hoạt, thiết bị của bạn sẽ trở thành một phần của botnet BADBOX 2.0, và đáng sợ hơn là có rất ít dấu hiệu cho thấy thiết bị của bạn đã bị nhiễm, khiến người dùng khó lòng nhận biết.
Phân phối malware BADBOX 2.0 qua các thiết bị kết nối mạng
Tuy nhiên, không chỉ các thiết bị được cài đặt sẵn mới chứa malware BADBOX 2.0. Trong khi phiên bản BADBOX ban đầu chủ yếu dựa vào phương pháp lây nhiễm này, BADBOX 2.0 còn được phát hiện sử dụng các lượt tải xuống tự động (drive-by downloads) để lây nhiễm các thiết bị khác. Tương tự, loại phần mềm độc hại này cũng đã được đóng gói vào các ứng dụng có sẵn để tải xuống trên các chợ ứng dụng Android của bên thứ ba. Đây là lý do tại sao việc tải ứng dụng Android ngoài luồng (sideloading) từ các nguồn không đáng tin cậy luôn tiềm ẩn nhiều rủi ro về bảo mật.
Quy trình lây nhiễm của malware BADBOX 2.0 trên thiết bị gia đình
BADBOX 2.0 hoạt động như thế nào và gây ra tác hại gì?
Theo Human Security, nhóm nghiên cứu an ninh đã tiết lộ BADBOX 2.0 lần đầu tiên, phiên bản malware tiến hóa này có một loạt các cuộc tấn công nguy hiểm và lén lút mà người dùng khó có thể nhận ra:
- Gian lận quảng cáo tự động (Programmatic ad fraud): Malware tạo ra các lượt hiển thị và nhấp chuột giả mạo trên các quảng cáo trực tuyến, lừa đảo doanh thu từ các nhà quảng cáo.
- Gian lận nhấp chuột (Click fraud): Tương tự như trên, nó tạo ra các nhấp chuột không hợp lệ, gây thiệt hại tài chính cho các chiến dịch quảng cáo.
- Dịch vụ proxy dân dụng (Residential proxy services): Đây là một trong những mối nguy hiểm lớn nhất. BADBOX 2.0 về cơ bản bán quyền truy cập vào thiết bị kết nối internet của bạn cho các bên thứ ba. Thiết bị của bạn sau đó có thể được sử dụng cho hàng loạt cuộc tấn công bổ sung mà bạn không hề hay biết, bao gồm:
- Chiếm đoạt tài khoản (Account Takeover – ATO): Sử dụng IP và thiết bị của bạn để đăng nhập vào tài khoản người khác.
- Tạo tài khoản giả mạo: Tạo hàng loạt tài khoản giả mạo trên các nền tảng mạng xã hội hoặc dịch vụ trực tuyến.
- Tấn công từ chối dịch vụ phân tán (DDoS): Biến thiết bị của bạn thành một phần của mạng botnet để tấn công và làm quá tải các máy chủ hoặc website khác.
- Phân phối phần mềm độc hại: Sử dụng thiết bị của bạn làm điểm phát tán cho các loại malware khác đến các nạn nhân tiếp theo.
- Đánh cắp mật khẩu dùng một lần (OTP theft): Can thiệp và đánh cắp các mã xác thực OTP quan trọng, cho phép kẻ tấn công vượt qua các lớp bảo mật.
Điều khiến BADBOX 2.0 đặc biệt đáng lo ngại là tất cả các hoạt động độc hại này đều diễn ra âm thầm, không hề cảnh báo bạn. Đây không phải là loại malware gây ra các dấu hiệu rõ ràng như quảng cáo bật lên hay thiết bị chậm chạp; nó muốn duy trì sự im lặng càng lâu càng tốt để tối đa hóa cơ hội khai thác thiết bị và dữ liệu nhạy cảm của bạn.
Làm thế nào để kiểm tra và phòng tránh BADBOX 2.0?
Đầu tiên, nếu bạn chưa mua hộp streaming box hoặc các thiết bị công nghệ kết nối internet giá rẻ không rõ nguồn gốc từ Trung Quốc, có thể bạn đang ở trong vùng an toàn hơn. Tuy nhiên, hãy kiểm tra xem bạn có sở hữu bất kỳ thiết bị nào trong số các mẫu bị nhiễm được Human Security liệt kê dưới đây không:
| Tên thiết bị | Tên thiết bị | Tên thiết bị | Tên thiết bị |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Tiếp theo, hãy tiến hành xem xét tổng thể tất cả các thiết bị kết nối internet trong nhà bạn, bất kể nguồn gốc của chúng. Hãy đặc biệt chú ý kiểm tra các chợ ứng dụng đáng ngờ mà bạn không nhớ đã cài đặt, các cài đặt hệ thống bị thay đổi không rõ nguyên nhân hoặc bất kỳ thay đổi nào khác trên thiết bị mà bạn không chủ động thực hiện.
Thật không may, việc loại bỏ BADBOX 2.0 khỏi hầu hết các thiết bị là một quá trình cực kỳ khó khăn, vì nó thường đòi hỏi phải flash một firmware mới và sạch cho thiết bị. Đối với nhiều hộp streaming box và các thiết bị IoT giá rẻ, một bản cập nhật firmware riêng biệt có thể không có sẵn hoặc không tồn tại. Điều này có nghĩa là trong nhiều trường hợp, bạn sẽ phải chấp nhận mất thiết bị đó và loại bỏ nó để bảo vệ mạng và dữ liệu của mình khỏi nguy cơ bị xâm phạm.
BADBOX 2.0 là một mối đe dọa an ninh mạng nghiêm trọng, đặc biệt với khả năng lây nhiễm ngấm ngầm qua các thiết bị điện tử dân dụng. Sự tinh vi của nó trong việc đánh cắp dữ liệu, thực hiện gian lận và biến thiết bị của bạn thành một phần của botnet yêu cầu sự cảnh giác cao độ từ mọi người dùng. Dù việc phát hiện và loại bỏ có thể khó khăn, nhưng việc kiểm tra kỹ lưỡng các thiết bị mới mua, đặc biệt là những sản phẩm giá rẻ không rõ nguồn gốc, và tránh cài đặt ứng dụng từ các chợ không chính thống là những bước bảo vệ cần thiết. Hãy luôn ưu tiên bảo mật thông tin cá nhân và an toàn mạng gia đình. Chia sẻ thông tin này để nâng cao nhận thức cộng đồng về hiểm họa BADBOX 2.0 và bảo vệ các thiết bị công nghệ của chúng ta!
