Các nhà nghiên cứu tìm thấy cửa hậu trong hàng nghìn hộp giải mã tín hiệu Android Box giá rẻ.
Tất cả chúng ta đều thích một thỏa thuận tốt, nhưng đôi khi, khi theo đuổi chúng, chúng ta chứng minh được câu ngạn ngữ “Tiền nào của nấy”. Các nhà nghiên cứu bảo mật đã phát hiện ra hàng nghìn hộp phát trực tuyến Android giá rẻ có cửa hậu chương trình cơ sở được kết nối tích cực với các máy chủ ra lệnh và kiểm soát (C2) ở Trung Quốc.
Vào tháng 1, nhà nghiên cứu bảo mật Daniel Milisic đã phát hiện ra rằng một hộp phát trực tuyến giá rẻ, không có thương hiệu, chỉ có tên là T95, là bị lây nhiễm với phần mềm độc hại không thể loại bỏ được dường như được lấy trực tiếp từ nhà máy. Một số nhà nghiên cứu khác xác nhận rằng hệ thống dựa trên Android đã bị nhiễm một cửa sau được cài đặt trước khi đến tay các nhà bán lẻ. Tuy nhiên, nghiên cứu gần đây khẳng định rằng vấn đề có thể lan rộng hơn dự kiến.
Human Security vừa tiết lộ rằng nó có đã phát hiện bảy hộp phát trực tuyến Android có cửa hậu tương tự T95. Nó cũng tìm thấy một máy tính bảng và dấu hiệu của ít nhất 200 mẫu thiết bị Android khác có thể bị xâm phạm. Công ty nghiên cứu nói với Wired rằng họ có theo dõi các thiết bị và tìm thấy chúng ở các khu dân cư, trường học và doanh nghiệp ở Hoa Kỳ. Nó cũng phát hiện và triệt phá một vụ lừa đảo quảng cáo có khả năng tài trợ cho hoạt động tội phạm. Và những gì các thiết bị này làm là bất hợp pháp.
“Họ giống như một con dao của Quân đội Thụy Sĩ chuyên làm những điều xấu trên Internet”, CISO An ninh Con người Gavin Reid nói. “Đây thực sự là một cách lừa đảo phân tán.”
An ninh con người có được chỉ định sự lây nhiễm như Badbox và chiến dịch quảng cáo độc hại như Peachpit.
Bảy hộp bị ảnh hưởng bởi Badbox là thiết bị không có thương hiệu được sản xuất tại Trung Quốc. Các nhà nghiên cứu cho biết tin tặc có thể đã cài đặt backdoor firmware sau khi thiết bị rời khỏi nhà máy và trước khi đến tay các đại lý. Dấu hiệu nhận dạng thực sự duy nhất trên thiết bị dường như là số kiểu máy chứ không phải tên. Chúng bao gồm T95 ban đầu được tìm thấy vào tháng 1, T95Z, T95MAX, X88, Q9, X12PLUS và MXQ Pro 5G. Máy tính bảng Android chung được xác định đơn giản là J5-W.
Phần mềm độc hại đầu tiên dựa trên Triada đã phát hiện của Kaspersky vào năm 2016. Nó sửa đổi một chút hệ điều hành Android để cho phép truy cập các ứng dụng được cài đặt trên thiết bị. Sau đó, nó thiết lập liên lạc với máy chủ C2.
Reid nói: “Người dùng không hề biết rằng khi bạn cắm thứ này vào, nó sẽ chuyển đến bộ chỉ huy và điều khiển (C2) ở Trung Quốc và tải xuống một bộ hướng dẫn và bắt đầu thực hiện một loạt nội dung xấu”.
Một số “nội dung xấu” mà Reid đề cập cụ thể bao gồm gian lận quảng cáo, tạo tài khoản Gmail và WhatsApp giả bằng cách sử dụng kết nối và cài đặt mã từ xa. Những kẻ xấu cũng bán quyền truy cập vào mạng gia đình bị xâm nhập để những tên tội phạm khác có thể sử dụng nút này làm proxy cho hoạt động bất hợp pháp.
Human Security lưu ý rằng tin tặc đã bán quyền truy cập vào các nút trên web đen và tuyên bố có quyền truy cập vào hơn 10 triệu địa chỉ IP gia đình và 7 triệu IP di động. May mắn thay, Milisic báo cáo rằng trung tâm C2 mà phần mềm độc hại kết nối tới đã bị gỡ xuống, vì vậy hiện tại cửa sau đã bị vô hiệu hóa một cách hiệu quả. Tuy nhiên, phần mềm độc hại vẫn tồn tại và có thể được kích hoạt lại trên các máy chủ mới.
Ngoài ra, còn có hàng triệu trường hợp tương tự không liên quan đến Badbox. Trend Micro đã nghiên cứu một chiến dịch phần mềm độc hại tương tự với khoảng 20 triệu thiết bị bị ảnh hưởng, điều này cho thấy mức độ phổ biến của vấn đề khi xem xét tổng thể.
Người mua hãy cẩn thận: Thiết bị phát trực tuyến giá rẻ đó có thể biến mạng gia đình của bạn thành trung tâm hacker mà bạn không hề biết. Một nguyên tắc nhỏ trong trường hợp này là nếu nó không có tên thương hiệu, tốt nhất bạn nên vượt qua.