Cục Điều tra Liên bang Hoa Kỳ (FBI) vừa đưa ra cảnh báo khẩn cấp về sự bùng nổ của mã độc BADBOX 2.0, lây lan mạnh mẽ trên hàng triệu thiết bị điện tử dân dụng kết nối internet. Phần mềm độc hại này, thường được cài đặt sẵn trên các thiết bị truyền phát trực tuyến (streaming hardware) và thiết bị IoT giá rẻ, có khả năng đánh cắp dữ liệu và tạo cửa hậu truy cập vào thiết bị, khiến việc loại bỏ trở nên vô cùng khó khăn. Thuthuat360.net khuyến cáo người dùng cần hết sức cảnh giác để bảo vệ thông tin và mạng lưới của mình trước mối đe dọa mã độc BADBOX 2.0 nguy hiểm này.
BADBOX 2.0 Botnet: Mối Đe Dọa Khó Lường
BADBOX 2.0 là phiên bản nâng cấp của mã độc BADBOX gốc, vốn được phát hiện lần đầu vào năm 2023. Mặc dù từng bị một cơ quan an ninh mạng Đức can thiệp và làm gián đoạn kênh liên lạc giữa các thiết bị bị nhiễm, nhưng mối đe dọa này không bị loại bỏ hoàn toàn. Giờ đây, BADBOX 2.0 đã phát triển thành một mạng botnet khổng lồ, với hơn một triệu thiết bị bị kiểm soát.
Sơ đồ phân phối mã độc BADBOX 2.0
Thông báo dịch vụ công cộng của FBI về BADBOX 2.0 tiết lộ rằng hầu hết các thiết bị bị nhiễm mã độc đều được cài đặt sẵn tại thời điểm bán, với đa số có nguồn gốc từ Trung Quốc. Tội phạm mạng chiếm quyền truy cập trái phép vào mạng gia đình bằng cách cấu hình sản phẩm với phần mềm độc hại trước khi người dùng mua, hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng cần thiết có chứa cửa hậu, thường là trong quá trình cài đặt ban đầu.
Một khi thiết bị bị nhiễm được kết nối vào mạng của bạn, nó có thể “gọi về nhà” tới mạng lưới điều khiển, từ đó kích hoạt mã độc BADBOX 2.0. Lúc này, thiết bị của bạn trở thành một phần của botnet BADBOX 2.0, và có thể có rất ít dấu hiệu cho thấy bạn đang sở hữu một thiết bị bị nhiễm mã độc trong nhà.
Quy trình lây nhiễm của mã độc BADBOX 2.0
Tuy nhiên, không chỉ các thiết bị cài đặt sẵn mới chứa mã độc BADBOX 2.0. Trong khi phiên bản BADBOX trước chủ yếu dựa vào phương pháp này, BADBOX 2.0 đã được phát hiện sử dụng các lượt tải xuống tự động (drive-by downloads) để lây nhiễm các thiết bị khác. Tương tự, mã độc này cũng được đóng gói vào các ứng dụng có sẵn để tải xuống trên các chợ ứng dụng Android của bên thứ ba. Đây là lý do tại sao việc cài đặt ứng dụng Android từ bên ngoài (sideloading) tiềm ẩn nhiều nguy hiểm.
BADBOX 2.0 Hoạt Động Như Thế Nào và Gây Hại Gì?
Theo Human Security, nhóm nghiên cứu bảo mật đã lần đầu tiên phát hiện ra BADBOX 2.0, mã độc này có khả năng thực hiện nhiều cuộc tấn công nguy hiểm và tinh vi. Các hoạt động chính của BADBOX 2.0 bao gồm:
- Lừa đảo quảng cáo lập trình (Programmatic ad fraud): Tạo ra các lượt xem và click quảng cáo giả mạo để chiếm đoạt doanh thu quảng cáo.
- Gian lận click (Click fraud): Tương tự, tạo ra các lượt click không hợp lệ trên quảng cáo hoặc liên kết.
- Dịch vụ proxy dân cư (Residential proxy services): Bán quyền truy cập vào thiết bị kết nối internet của bạn cho các bên thứ ba, những người này sau đó có thể sử dụng thiết bị của bạn cho nhiều mục đích tấn công khác, như:
- Chiếm đoạt tài khoản (Account Takeover – ATO): Truy cập trái phép vào các tài khoản trực tuyến của người dùng.
- Tạo tài khoản giả mạo: Tạo hàng loạt tài khoản giả mạo trên các nền tảng khác nhau.
- Tấn công từ chối dịch vụ phân tán (DDoS): Sử dụng thiết bị của bạn như một phần của mạng lưới tấn công để làm quá tải máy chủ mục tiêu.
- Phân phối mã độc: Sử dụng thiết bị bị nhiễm để phát tán các loại mã độc khác.
- Trộm cắp mật khẩu một lần (OTP): Đánh cắp các mã xác thực dùng một lần để truy cập tài khoản.
Điều khiến BADBOX 2.0 trở nên đáng lo ngại là tất cả các hoạt động này diễn ra mà không hề cảnh báo cho bạn. Đây không phải là loại mã độc gây ra các dấu hiệu rõ ràng về sự hiện diện của nó; BADBOX 2.0 muốn ẩn mình càng lâu càng tốt để tối đa hóa cơ hội khai thác thiết bị và dữ liệu của bạn.
Cách Nhận Biết và Xử Lý Mã Độc BADBOX 2.0
Đầu tiên, nếu bạn chưa mua hộp truyền phát trực tuyến hoặc các thiết bị công nghệ kết nối internet khác có xuất xứ từ Trung Quốc, khả năng bạn an toàn là khá cao. Tuy nhiên, hãy kiểm tra xem bạn có sở hữu bất kỳ thiết bị nào trong danh sách bị nhiễm do Human Security cung cấp dưới đây hay không:
| Tên thiết bị | Tên thiết bị | Tên thiết bị | Tên thiết bị |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Smart | KM9PRO | A15 |
| Transpeed | KM7 | iSinbox | I96 |
| SMART_TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| GameBox | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Tiếp theo, hãy rà soát tất cả các thiết bị kết nối internet của bạn, bất kể nguồn gốc. Kiểm tra xem có các chợ ứng dụng đáng ngờ mà bạn không cài đặt, các cài đặt bị thay đổi, hoặc các thay đổi khác trên thiết bị mà bạn không nhớ đã thực hiện hay không.
Đáng tiếc, việc loại bỏ BADBOX 2.0 khỏi hầu hết các thiết bị là một quá trình khó khăn, vì nó đòi hỏi phải flash một firmware mới, sạch. Đối với nhiều hộp truyền phát trực tuyến và thiết bị IoT giá rẻ, có thể không có bản cập nhật firmware riêng biệt. Điều này có nghĩa là bạn sẽ phải chấp nhận mất mát và loại bỏ thiết bị đó để bảo vệ mạng và dữ liệu của mình.
Để bảo vệ bản thân và hệ thống mạng gia đình khỏi các mối đe dọa mã độc tương tự BADBOX 2.0, hãy luôn cẩn trọng khi mua và sử dụng các thiết bị công nghệ, đặc biệt là những sản phẩm không rõ nguồn gốc. Ưu tiên các thương hiệu uy tín và chỉ tải ứng dụng từ các nguồn chính thức. Nếu nghi ngờ thiết bị của mình bị nhiễm, hãy ngắt kết nối ngay lập tức và tham khảo ý kiến chuyên gia bảo mật. Đừng quên truy cập thuthuat360.net thường xuyên để cập nhật những thông tin công nghệ và cảnh báo an ninh mạng mới nhất, giúp bạn luôn đi trước các mối đe dọa trực tuyến.
