Hơn 1 triệu thiết bị Android giá rẻ bị cài 'cửa hậu' bí mật
Hàng triệu người dùng các thiết bị Android giá rẻ như hộp TV, máy tính bảng, máy chiếu… mà không hề biết rằng chúng đã bị cài sẵn phần mềm độc hại, mở cửa cho lừa đảo.
Các thiết bị phát trực tuyến giá rẻ có vẻ là một trong những món đồ công nghệ đơn giản nhất, nhưng đôi khi chúng đi kèm với những cái giá ẩn giấu. Ảnh: Wired.
Theo báo cáo của công ty an ninh mạng Human Security, ít nhất một triệu thiết bị Android đã bị xâm nhập và điều khiển từ xa để thực hiện các hành vi gian lận quảng cáo và tấn công mạng.
Theo Wired, vấn nạn này không mới. Năm 2023, các nhà nghiên cứu đã phát hiện hàng chục nghìn thiết bị Android TV Box bị cài đặt cửa hậu (back door) bí mật, tạo điều kiện cho các hoạt động tội phạm mạng.
Nhưng đến nay, quy mô của chiến dịch này đã mở rộng và tinh vi hơn nhiều. Các nhà nghiên cứu gọi đây là Badbox 2.0, là một hệ sinh thái tội phạm mạng có nguồn gốc từ Trung Quốc. Chiến dịch nhắm đến hàng loạt thiết bị Android giá rẻ không thuộc hệ sinh thái chính thức của Google.
Những thiết bị vô danh, không nằm trong hệ sinh thái được Google bảo vệ
Những thiết bị bị xâm nhập được sử dụng để tạo ra một mạng botnet khổng lồ, thực hiện các hình thức lừa đảo quảng cáo, cung cấp dịch vụ proxy ẩn danh cho các hoạt động mờ ám trên Internet. Các thiết bị có thể là hộp TV phát trực tuyến, máy tính bảng, máy chiếu và hệ thống thông tin giải trí trên ô tô.
Những kẻ đứng sau chiến dịch này có thể điều hướng lưu lượng truy cập mạng thông qua các thiết bị đã bị xâm nhập, giúp che giấu danh tính và nguồn gốc thực sự của các hành vi phạm pháp.
Đáng lo ngại là tất cả quá trình này diễn ra hoàn toàn âm thầm, chủ sở hữu thiết bị không hề hay biết. Giám đốc an ninh thông tin Gavin Reid của Human Security cho hay: "Người dùng mua thiết bị này chỉ để xem Netflix hay một số dịch vụ khác, nhưng hoàn toàn không hay biết về những gì đang diễn ra trong nền. Gian lận quảng cáo như gian lận nhấp chuột đang diễn ra mà họ không hề nhận thức được.
Nhưng cách kiếm tiền chính của bọn lừa đảo là bán lại dịch vụ proxy này. Nạn nhân không hề biết mình đang trở thành proxy, họ chưa bao giờ đồng ý làm như vậy, nhưng thiết bị của họ vẫn bị sử dụng. Dịch vụ proxy này có thể phục vụ bất kỳ hoạt động bất hợp pháp nào”.
Tất cả các hoạt động này diễn ra một cách âm thầm mà chủ sở hữu thiết bị hoàn toàn không hề hay biết. Ảnh: The Sun.
Theo các nhà nghiên cứu, phần lớn thiết bị bị nhiễm tập trung ở Nam Mỹ, đặc biệt là Brazil. Các thiết bị này thường có tên gọi chung chung và không phải do các thương hiệu lớn sản xuất. Đơn cử như trong danh sách hàng chục loại hộp TV phát trực tuyến bị ảnh hưởng, phần lớn thuộc 2 dòng thiết bị "TV98" và "X96".
Hầu như tất cả các thiết bị này đều chạy trên mã nguồn mở của hệ điều hành Android, tức là chúng sử dụng Android nhưng không nằm trong hệ sinh thái thiết bị được Google bảo vệ.
Theo Wired, Google đã hợp tác với các nhà nghiên cứu để xử lý thành phần gian lận quảng cáo của chiến dịch này. Công ty cho hay đã chặn các tài khoản nhà phát hành liên quan đến các vụ lừa đảo và ngăn không cho các tài khoản này tạo ra doanh thu thông qua hệ sinh thái quảng cáo của Google.
Phát ngôn viên Nate Funkhouser cho biết: "Những cuộc tấn công độc hại như trong báo cáo này bị nghiêm cấm rõ ràng trên các nền tảng của chúng tôi. Chiến thuật của kẻ xấu liên tục thay đổi, nên việc hợp tác với các tổ chức giúp chúng tôi chia sẻ thông tin về mối đe dọa, từ đó xác định và hành động nhanh chóng chống lại những kẻ xấu, giống như cách chúng tôi đã làm trong trường hợp này”.
‘Nếu quá rẻ, hãy cảnh giác’
Trong chiến dịch Badbox ban đầu, nhóm lừa đảo chủ yếu cài đặt firmware có cửa hậu ngay từ khi thiết bị còn ở nhà máy, tức là trước khi chúng đến tay người tiêu dùng. Tuy nhiên, Badbox 2.0 đã có thay đổi lớn về chiến thuật.
Thay vì tấn công vào firmware, chiến dịch này chủ yếu sử dụng phần mềm độc hại ở cấp độ ứng dụng, được phân phối thông qua các phương thức phổ biến như tải xuống ngầm. Nạn nhân vô tình tải về phần mềm độc hại mà không hề hay biết.
Nhiều nhóm nghiên cứu an ninh mạng cho rằng chiến dịch này không phải do một thực thể duy nhất điều hành mà là kết quả của một hệ sinh thái lỏng lẻo gồm nhiều nhóm lừa đảo có liên quan đến nhau. Mỗi nhóm có phiên bản cửa hậu Badbox 2.0 riêng và phân phối phần mềm độc hại theo nhiều cách khác nhau.
Đôi khi, ứng dụng độc hại được cài đặt sẵn trên thiết bị bị xâm nhập. Nhưng trong nhiều tình huống các nhà nghiên cứu theo dõi, kẻ tấn công đã lừa người dùng cài đặt ứng dụng chứa mã độc mà không hề hay biết.
Kẻ tấn công tạo một ứng dụng hợp lệ, đăng lên Google Play Store để chứng minh rằng ứng dụng này đã được kiểm duyệt, nhưng lại dụ người dùng tải ở web bên ngoài. Ảnh: Times Now.
Một kỹ thuật đặc biệt nhóm nghiên cứu phát hiện là tạo ra ứng dụng giả mạo. Kẻ tấn công tạo một ứng dụng hợp lệ như trò chơi, đăng lên Google Play Store để chứng minh rằng nó đã được kiểm duyệt. Nhưng sau đó, họ lừa người dùng tải về một phiên bản gần như giống hệt nhưng không có trên cửa hàng chính thức. Đây mới là phiên bản chứa mã độc.
Theo các nhà nghiên cứu, những ứng dụng "song sinh ác ý" (evil twin) này đã xuất hiện ít nhất 24 lần. Kẻ tấn công có thể vừa thực hiện gian lận quảng cáo trong phiên bản Google Play, vừa phân phối phần mềm độc hại qua phiên bản giả mạo. Ngoài ra, Human Security còn phát hiện nhóm lừa đảo đã phân phối hơn 200 phiên bản giả mạo của các ứng dụng phổ biến, được chỉnh sửa lại để tích hợp mã độc, mở rộng phạm vi lây nhiễm.
Lindsay Kaye, Phó chủ tịch phòng tình báo mối đe dọa tại Human Security, cho biết: "Chúng tôi đã thấy 4 loại module gian lận khác nhau: 2 liên quan đến gian lận quảng cáo, 1 module giả click và 1 module dùng để xây dựng mạng lưới proxy. Nhưng hệ thống này có thể mở rộng thêm. Nếu những kẻ này có thời gian và thiết lập thêm quan hệ đối tác, chúng có thể phát triển thêm nhiều module tấn công khác”.
Các nhà nghiên cứu của công ty an ninh mạng Trend Micro cũng đã hợp tác với Human Security để điều tra Badbox 2.0, tập trung vào danh tính của các tác nhân đứng sau chiến dịch này.
Fyodor Yarochkin, chuyên gia cấp cao về mối đe dọa tại Trend Micro, nhận xét: "Quy mô của chiến dịch này rất khổng lồ. Chúng tôi ước tính có ít nhất một triệu thiết bị đang trực tuyến và bị điều khiển bởi những nhóm này. Nhưng nếu tính cả những thiết bị đã bị nhiễm nhưng hiện chưa hoạt động, con số có thể lên đến vài triệu”.
Các nhà nghiên cứu cảnh báo rằng sau khi vụ Badbox đầu tiên bị phanh phui, bọn lừa đảo đã nhanh chóng thay đổi chiến thuật. Do đó, khả năng cao Badbox 2.0 cũng sẽ không phải là hồi kết của chiến dịch này.
"Nếu một thiết bị quá rẻ so với mặt bằng chung, hãy chuẩn bị tinh thần rằng có thể có những ‘món quà bất ngờ’ ẩn bên trong. Không có miếng bánh nào là miễn phí, trừ khi đó là miếng bánh trong bẫy chuột”, Yarochkin khuyến cáo người dùng.
