Các nhà nghiên cứu tại nhóm tình báo đe dọa Satori của con người đã làm việc cùng với Google, Trend Micro, The Shadowserver Foundation và những người khác để phá vỡ botnet lớn nhất của các thiết bị TV được kết nối bị nhiễm – Badbox 2.0.

Một botnet của các thiết bị Android ngoài thương hiệu bị nhiễm, phần mềm độc hại Badbox thường được tải sẵn trên các hộp phát trực tuyến TV, TV thông minh, máy tính bảng, máy chiếu kỹ thuật số hoặc điện thoại thông minh. Trong trường hợp này, các diễn viên đe dọa cũng vận hành hàng trăm phiên bản ứng dụng phổ biến để phục vụ như một hệ thống phân phối cửa hậu thay thế. May mắn thay, các nhà nghiên cứu của con người đã có thể xác định và sau đó có 24 ứng dụng độc hại độc hại của nhóm này đang lan truyền phần mềm độc hại này bị xóa khỏi cửa hàng Google Play.

Tổng cộng, họ đã có thể phá vỡ botnet trên hơn 500.000 thiết bị Android, đánh chìm hiệu quả việc liên lạc với các miền độc hại được sử dụng bởi các tin tặc đằng sau chiến dịch này. Các nhà nghiên cứu đã tiếp quản hàng ngàn miền Badbox 2.0 này để ngăn chặn các thiết bị bị nhiễm giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) được thiết lập bởi các tội phạm mạng này cũng cho phép họ theo dõi các kết nối và thu thập dữ liệu về botnet.

Badbox 2.0 là gì?

(Tín dụng hình ảnh: Shutterstock)

Một botnet dựa trên phần mềm độc hại, Badbox 2.0 sử dụng các thiết bị Android ngoài thương hiệu thấp hơn để thực hiện các hành vi độc hại bao gồm cả gian lận. Phần mềm độc hại Badbox ban đầu bị nhiễm 74.000 thiết bị và đã bị gián đoạn hoặc không hoạt động vào tháng 10 năm 2023.

Phiên bản mới này, Badbox 2.0, đã lây nhiễm hơn 1 triệu thiết bị theo con người. Phần lớn các bệnh nhiễm trùng dường như tập trung vào Brazil (37,6%), tiếp theo là Mỹ (18,2%), Mexico (6,3%) và Argentina (5,3%).

Các thiết bị bị nhiễm bao gồm các hộp phát trực tuyến TV Android, TV thông minh, điện thoại thông minh, máy tính bảng và máy chiếu kỹ thuật số trong số những thứ khác, thường đến với phần mềm độc hại được tải sẵn trực tiếp từ nhà sản xuất. Hoặc chúng bị nhiễm và thêm vào botnet thông qua các ứng dụng độc hại của Evilic Twin hoặc tải xuống phần sụn. Con người chỉ ra trong một bài đăng trên blog rằng các thiết bị bị nhiễm bệnh là các thiết bị dự án nguồn mở Android, không phải thiết bị HĐH truyền hình Android hoặc Play Protect Repert được chứng nhận.

Sau khi được cài đặt, phần mềm độc hại Badbox biến các thiết bị bị nhiễm thành các proxy dân cư. Sau đó, họ thường xuyên kết nối với các máy chủ C2 do kẻ tấn công kiểm soát để nhận các lệnh mới và gửi lại dữ liệu bị đánh cắp như mật khẩu. Các lệnh này có thể được sử dụng để khởi chạy các cuộc tấn công nhồi thông tin, tạo tài khoản giả, hiển thị quảng cáo giả hoặc chuyển hướng người dùng đến các miền chất lượng thấp cho hoạt động phân phối lưu lượng truy cập gian lận.

Làm thế nào để giữ an toàn khỏi Badbox 2.0

(Tín dụng hình ảnh: Shutterstock)

Google đã loại bỏ các ứng dụng độc hại được phát hiện bởi các nhà nghiên cứu của con người khỏi cửa hàng Play và thêm quy tắc thực thi bảo vệ Play để cảnh báo người dùng cũng như chặn việc cài đặt các ứng dụng liên quan đến Badbox 2.0 trên bất kỳ thiết bị Android được chứng nhận nào.

Tuy nhiên, vì gã khổng lồ tìm kiếm không thể khử trùng các thiết bị Android không chơi, Badbox không thể bị loại bỏ hoàn toàn. Một danh sách các thiết bị được biết là bị ảnh hưởng bởi phiên bản Badbox hiện tại có thể được tìm thấy ở cuối báo cáo của con người được liên kết ở trên. Nếu bạn có một thiết bị trong danh sách đó, không có khả năng bạn sẽ có thể cập nhật nó bằng phần sụn sạch. Tùy chọn an toàn nhất của bạn là ngắt kết nối thiết bị đó khỏi Internet, hoặc tốt hơn là thay thế nó bằng một thiết bị được chứng nhận từ một thương hiệu có uy tín.

“Nếu một thiết bị không chơi bảo vệ được chứng nhận, Google sẽ không có hồ sơ về kết quả kiểm tra bảo mật và khả năng tương thích.” Một phát ngôn viên của Google đã giải thích trong một tuyên bố với BleepingComputer. “Chơi bảo vệ các thiết bị Android được chứng nhận trải qua thử nghiệm rộng rãi để đảm bảo chất lượng và sự an toàn của người dùng. Người dùng nên đảm bảo Google Play Protect, bảo vệ phần mềm độc hại của Android, theo mặc định trên các thiết bị có dịch vụ Google Play, được bật.

Những người tiêu dùng muốn giữ an toàn nên tránh mua các thiết bị Android dựa trên AOSP như các hộp TV ngoài thương hiệu thiếu hỗ trợ dịch vụ Google Play chính thức. Ngoài ra, luôn luôn đảm bảo cập nhật chương trình cơ sở của bạn và cài đặt các bản vá bảo mật mới nhất ngay khi chúng có sẵn trên bất kỳ thiết bị phát trực tuyến tốt nhất mà bạn hiện đang sử dụng.

Bạn cũng muốn tránh các ứng dụng tải sidel và chỉ sử dụng các ứng dụng từ cửa hàng Google Play và các cửa hàng ứng dụng chính thức khác. Tương tự như vậy, các thiết bị TV Android có thể có các tính năng truy cập từ xa của chúng bị vô hiệu hóa khi không sử dụng, điều này sẽ khiến chúng ngoại tuyến. Điều này có thể cung cấp thêm một lớp bảo mật để bảo vệ thiết bị của bạn và dữ liệu của bạn nếu chúng vô tình trở thành một phần của mạng bot

Nó cũng có thể đáng để đầu tư vào một trong những bộ định tuyến Wi-Fi tốt nhất hoặc các hệ thống Wi-Fi lưới tốt nhất với phần mềm bảo mật tích hợp. Mặc dù phần mềm chống vi-rút tốt nhất có thể giữ cho PC của bạn an toàn khỏi phần mềm độc hại, các giải pháp bảo mật trên toàn mạng như Armor của Netgear hoặc Homeshield của TP-Link bảo vệ tất cả các thiết bị được kết nối với mạng gia đình của bạn khỏi virus và các mối đe dọa khác. Nếu bạn muốn đề xuất của chúng tôi cho hộp TV Android tốt nhất, chúng tôi vẫn thực sự thích NVIDIA Shield ngay cả khi bây giờ đã vài năm tuổi vào thời điểm này.

Sign up for Newsletter

Review sản phẩm

Hơn một triệu thiết bị Android bị nhiễm các phần mềm độc hại botnet được cài đặt sẵn, cách giữ an toàn

Webmaster

Sign up for Newsletter

Webmaster

Nhận tin khuyến mãi

Đăng nhập

Khám phá thêm từ Phụ Kiện Đỉnh