Phần mềm độc hại BadBox phá vỡ khoảng 500.000 thiết bị Android bị nhiễm

Mạng botnet phần mềm độc hại Android là BadBox đã bị phá vỡ một lần nữa, khi có đến 24 ứng dụng độc hại được đưa ra khỏi cửa hàng ứng dụng Google Play...

Mạng botnet BadBox là một hoạt động gian lận mạng chủ yếu nhắm vào các thiết bị Android giá rẻ như hộp phát trực tuyến TV, máy tính bảng, TV thông minh và điện thoại thông minh.

Các thiết bị này được tải sẵn phần mềm độc hại BadBox từ nhà sản xuất hoặc bị nhiễm bởi các ứng dụng hoặc chương trình cơ sở độc hại.

Sau đó, phần mềm độc hại biến các thiết bị thành máy chủ proxy dân dụng, tạo ra các lượt hiển thị quảng cáo giả trên các thiết bị bị nhiễm, chuyển hướng người dùng đến các miền chất lượng thấp như một phần của các hoạt động phân phối lưu lượng truy cập gian lận và sử dụng IP của mọi người để tạo tài khoản giả, thực hiện các cuộc tấn công nhồi thông tin xác thực.

Vào tháng 12 năm ngoái, chính quyền Đức đã phá vỡ phần mềm độc hại đối với các thiết bị bị nhiễm trong nước. Tuy nhiên, vài ngày sau, BitSight báo cáo rằng phần mềm độc hại đã được tìm thấy trong ít nhất 192.000 thiết bị, cho thấy khả năng phục hồi trước hành động thực thi pháp luật.

Kể từ đó, ước tính botnet đã phát triển lên hơn 1.000.000 ca nhiễm, ảnh hưởng đến các thiết bị Android tại 222 quốc gia, phần lớn nằm ở Brazil (37,6%), Hoa Kỳ (18,2%), Mexico (6,3%) và Argentina (5,3%).

Sự gián đoạn BadBox mới

Nhóm giải pháp về tình báo thông tin Satori Threat Intelligence của HUMAN đã hợp tác với Google, Trend Micro, The Shadowserver Foundation và các đối tác khác để triển khai các hoạt động làm gián đoạn các phần mềm độc hại.

Do quy mô botnet tăng đột ngột, HUMAN hiện gọi nó là 'BadBox 2.0', qua đó cho thấy công ty đang hướng đến một kỷ nguyên mới trong hoạt động làm gián đoạn phần mềm của mình.

Theo giải thích của HUMAN, kế hoạch của BadBox đã ảnh hưởng đến hơn 1 triệu thiết bị tiêu dùng. Các thiết bị được kết nối với hoạt động BADBOX 2.0 bao gồm các thiết bị giá rẻ hơn, "không phải thương hiệu" lớn như máy tính bảng chưa được chứng nhận, hộp TV kết nối (CTV), máy chiếu kỹ thuật số…

Các thiết bị bị nhiễm là thiết bị Android Open Source Project (Dự án nguồn mở), không phải thiết bị Android TV OS hoặc thiết bị Android được chứng nhận Play Protect. Tất cả các thiết bị này đều được sản xuất tại Trung Quốc và được vận chuyển trên toàn cầu. Trên thực tế, HUMAN đã quan sát thấy lưu lượng truy cập liên quan đến BADBOX 2.0 từ 222 quốc gia và vùng lãnh thổ trên toàn thế giới.

HUMAN cho biết họ đã tìm thấy bằng chứng cho thấy botnet phục vụ và được hỗ trợ bởi nhiều nhóm đe dọa có vai trò hoặc lợi ích riêng biệt. Các nhóm này là SalesTracker (quản lý cơ sở hạ tầng), MoYu (phát triển cửa hậu và botnet), Lemon (chiến dịch gian lận quảng cáo) và LongTV (phát triển ứng dụng độc hại).

Theo HUMAN, việc hợp tác với The Shadowserver Foundation, các nhà nghiên cứu đã tạo ra một số lượng không nhỏ các miền BADBOX 2.0 để ngăn chặn hơn 500.000 thiết bị bị nhiễm khi giao tiếp với máy chủ chỉ huy và kiểm soát (C2) do các tác nhân đe dọa thiết lập.

Google đã xóa các ứng dụng khỏi Google Play và thêm quy tắc thực thi Play Protect để cảnh báo người dùng và chặn cài đặt các ứng dụng liên quan đến BadBox 2.0 trên các thiết bị Android đã được chứng nhận.

Hơn nữa, gã khổng lồ công nghệ Mỹ cũng đã chấm dứt các tài khoản nhà xuất bản tham gia vào hoạt động gian lận quảng cáo liên quan đến hoạt động BadBox, ngăn chặn việc kiếm tiền thông qua Google Ads.

Tuy nhiên, điều đáng nói là Google không thể loại bỏ các thiết bị Android không được chứng nhận Play Protect được bán trên toàn cầu, vì vậy mặc dù BadBox 2.0 đã bị phá vỡ, nhưng nó vẫn chưa bị loại bỏ hoàn toàn.

Một khi người dùng mua các thiết bị Android như hộp TV không phải thương hiệu, không có hỗ trợ Dịch vụ Google Play chính thức, họ sẽ có nguy cơ sử dụng phần cứng được tải sẵn phần mềm độc hại.

Danh sách các thiết bị được biết là bị ảnh hưởng bởi phần mềm độc hại BadBox được liệt kê bên dưới đây:

Nếu bạn sở hữu bất kỳ thiết bị nào ở trên, có khả năng bạn sẽ không thể tải xuống chương trình cơ sở sạch cho chúng. Bạn nên thay thế các thiết bị này bằng các thiết bị từ các thương hiệu uy tín. Nếu không thể thay thế thiết bị, bạn nên ngắt kết nối chúng khỏi Internet.