Chuyên gia an ninh mạng vừa đưa ra cảnh báo đến người dùng rằng, Android TV Box bị nhiễm phần mềm độc hại và phát tán mạnh mẽ.
Theo đó, một chuyên gia an ninh mạng gần đây đã phát hiện ra một sự lây nhiễm phần mềm độc hại phổ biến gây khó chịu cho các hộp Android TV được tìm kiếm rất nhiều được bán trên các trang web trực tuyến.
Tiết lộ đến từ nhà nghiên cứu an ninh mạng Daniel Milisic, người đã tình cờ phát hiện ra mối đe dọa đáng sợ này. Hoạt động trong nền một cách âm thầm, phần mềm độc hại này lén lút tạo ra doanh thu bất hợp pháp cho những kẻ tấn công bằng cách tham gia vào các hoạt động nhấp vào quảng cáo bí mật.
Việc phát hiện ra những thiết bị bị nhiễm này đã làm dấy lên mối lo ngại về tính bảo mật của thiết bị điện tử tiêu dùng và sự dễ dàng mà phần mềm độc hại có thể xâm nhập vào các hộ gia đình cả tin.
Android TV Box bị nhiễm phần mềm độc hại
TechCrunch cho biết rằng, cuộc điều tra của Milisic bắt đầu khi anh ta mua một hộp Android TV AllWinner T95, một sản phẩm được đánh giá cao và có sẵn trên thị trường Amazon.
Với mức giá phải chăng là 40 USD, T95 thu hút người tiêu dùng với hàng loạt dịch vụ phát trực tuyến và các tính năng có thể tùy chỉnh, khiến nó trở thành lựa chọn hấp dẫn cho những người yêu thích giải trí gia đình.
Tuy nhiên, sự phấn khích của Milisic nhanh chóng chuyển sang thất vọng khi anh phát hiện ra một sự thật gây sửng sốt. Người dùng không biết, Android TV Box đã bí mật giao tiếp với máy chủ chỉ huy và kiểm soát (C2), háo hức chờ đợi hướng dẫn tải xuống phần mềm độc hại giai đoạn hai được thiết kế đặc biệt để thực hiện gian lận nhấp chuột vào quảng cáo.
Phần mềm độc hại tương tự trên các mẫu Android TV Box khác
Tầm quan trọng của những phát hiện của Milisic, được chia sẻ trên GitHub, đã gây được tiếng vang với các chuyên gia khác trong lĩnh vực này, bao gồm cả nhà nghiên cứu bảo mật EFF đáng kính Bill Budington.
Budington đã xác nhận sự hiện diện của phần mềm độc hại tương tự trên các mẫu hộp Android TV khác, chẳng hạn như AllWinner T95Max, RockChip X12 Plus và RockChip X88 Pro 10.
Những phát hiện đáng lo ngại này chỉ ra rằng việc lây nhiễm phần mềm độc hại vượt ra ngoài một thiết bị và bao gồm nhiều sản phẩm hộp Android TV khác nhau.
Một mạng lưới Android TV Box bị lây nhiễm
TechCrunch cho chúng tôi biết rằng các hộp Android TV bị nhiễm tạo thành một mạng botnet khá lớn, với vô số thiết bị bị xâm nhập nằm rải rác trên toàn cầu.
Sau khi bật nguồn, các thiết bị này sẽ thiết lập kết nối với máy chủ C2 để nhận hướng dẫn thực hiện gian lận nhấp chuột vào quảng cáo và tải xuống các tải trọng độc hại bổ sung.
Milisic đã nhanh chóng liên hệ với công ty internet lưu trữ các máy chủ C2, khiến họ nhanh chóng bị đóng cửa. Tuy nhiên, ông cảnh báo rằng các tác nhân đe dọa có thể dễ dàng chuyển hoạt động của chúng sang các máy chủ mới, khiến việc loại bỏ hoàn toàn tác động của phần mềm độc hại này trở nên khó khăn.
Bill Budington bày tỏ sự sốc trước quy mô và độ phức tạp tuyệt đối của hoạt động này, đồng thời nhấn mạnh sự khó khăn trong việc đánh giá quy mô thực sự của mạng botnet.
Các nhà nghiên cứu lưu ý rằng họ đã gặp phải các biến thể khác nhau của phần mềm độc hại trojan Android, tải xuống các giai đoạn tiếp theo của phần mềm độc hại từ cùng một nhóm IP được liên kết với các cuộc tấn công chuỗi cung ứng trước đó. Phạm vi rộng lớn và sự tinh vi của hoạt động này vừa ấn tượng vừa đáng lo ngại.

Một thực tế đáng báo động
Một khía cạnh đáng lo ngại được các nhà nghiên cứu nhấn mạnh là người dùng bình thường thiếu nhận thức và chuyên môn kỹ thuật để xác định và xóa phần mềm độc hại đó khỏi hộp TV của họ.
Do đó, các chuyên gia khuyên người dùng bị ảnh hưởng nên cân nhắc thay thế thiết bị của họ bằng các lựa chọn thay thế có uy tín hơn.
Hơn nữa, họ nhấn mạnh sự cần thiết của các đại lý phải gánh vác trách nhiệm cao hơn và thực hiện thẩm định khi bán phần cứng, do đó ngăn khách hàng vô tình trở thành nạn nhân của các hoạt động độc hại.
Đối với Amazon, gã khổng lồ bán lẻ đã cấm bán phần mềm độc hại và các sản phẩm liên quan khác trên trang web.
Quảng cáo của Amazon liệt kê “Phần mềm độc hại, phần mềm hù doạ hoặc phần mềm gián điệp.” trong phần Sản phẩm bị hạn chế. Trong khi đó, trung tâm bán hàng của Amazon lưu ý rằng chỉ những sản phẩm không can thiệp vào các thiết bị điện tử khác mới có thể được bán trên nền tảng này.