Nhóm nghiên cứu về mối đe dọa Satori vừa phát hiện một chiến dịch gian lận mới mang tên BADBOX 2.0, ảnh hưởng đến hơn 1 triệu thiết bị Android như tablet, TV box và máy chiếu kỹ thuật số không được cấp phép.
Chiến dịch BADBOX 2.0 liên quan đến việc lây nhiễm phần mềm độc hại vào các thiết bị để cho phép tin tặc truy cập từ xa. Những thiết bị này thuộc dự án Android Open Source Project (AOSP), nghĩa là chúng không được chứng nhận Play Protect như các dòng điện thoại Pixel hay Galaxy, do đó thiếu đi một lớp bảo mật quan trọng nên trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa.
Theo nhóm nghiên cứu, hoạt động BADBOX 2.0 được điều khiển thông qua một cửa hậu cho phép tin tặc duy trì quyền truy cập liên tục vào thiết bị. Một trong những kênh phân phối cho cửa hậu này là thông qua ứng dụng được cài sẵn và kích hoạt khi thiết bị được bật nguồn. Ngoài ra còn có kênh khác là các chợ ứng dụng không chính thức mà người dùng tải xuống.
Đáng lưu ý, một thiết bị có thể đã bị nhiễm phần mềm độc hại ngay từ khi còn trong hộp. Trong một số trường hợp, thiết bị bị nhiễm sẽ tự động liên hệ với máy chủ chỉ huy và kiểm soát (C2) và tải xuống tệp độc hại khi được khởi động lần đầu tiên. Điều này có thể khiến người dùng không hề hay biết cho đến khi quá muộn.
Ngay cả khi người dùng may mắn mua được một thiết bị không bị nhiễm, nguy cơ vẫn còn rình rập trực tuyến. Nhóm nghiên cứu cho biết các ứng dụng chứa cửa hậu BB2DOOR đã được phát hiện trên các chợ ứng dụng không chính thức và vẫn có khả năng lây nhiễm sau khi được cài đặt.
Lưu lượng BADBOX 2.0 đã được ghi nhận ở 222 quốc gia và vùng lãnh thổ trên toàn thế giới, trong đó hơn 1/3 số thiết bị bị nhiễm nằm ở Brazil, nơi các thiết bị AOSP của bên thứ ba rất phổ biến. Nhóm Satori kết luận, mặc dù họ có thể xác định các nhóm tác nhân đe dọa đứng sau hoạt động này nhưng việc triệt phá mối đe dọa vẫn còn khó khăn do chuỗi cung ứng các thiết bị bị xâm phạm vẫn còn nguyên vẹn.
Theo Kiến Văn (TNO)
