Google đã khởi kiện tại tòa án liên bang New York chống lại các kẻ điều hành BadBox 2.0, được mô tả là botnet lớn nhất từng được biết đến nhắm vào các thiết bị truyền hình kết nối internet và thiết bị Android. Hoạt động tội phạm mạng quy mô lớn này đã xâm phạm hơn 10 triệu thiết bị trên toàn thế giới, biến các thiết bị điện tử tiêu dùng hàng ngày thành những người tham gia không hay biết trong các âm mưu gian lận.
Thống kê tác động của Botnet BadBox 2.0
| Chỉ số | Giá trị |
|---|---|
| Tổng số thiết bị bị nhiễm | Hơn 10 triệu |
| Loại thiết bị bị ảnh hưởng | Hộp streaming, máy chiếu kỹ thuật số, máy tính bảng, khung ảnh, hệ thống giải trí trên xe |
| Nguồn gốc sản xuất chính | Trung Quốc |
| Ước tính thiết bị ( Human Security ) | Hơn 1 triệu |
| Ước tính cập nhật của Google | Hơn 10 triệu thiết bị Android không được chứng nhận |
 |
|---|
| Trụ sở chính của Cloudflare , tượng trưng cho cuộc chiến đang diễn ra chống lại các mối đe dọa mạng |
Quy Mô và Bản Chất của BadBox 2.0
BadBox 2.0 đại diện cho một tổ chức tội phạm mạng tinh vi chủ yếu nhắm vào các thiết bị Android giá rẻ, không thương hiệu được sản xuất tại Trung Quốc. Botnet này đã lây nhiễm các thiết bị streaming, máy chiếu kỹ thuật số, máy tính bảng, khung ảnh kỹ thuật số, hệ thống thông tin giải trí xe hơi aftermarket, và các thiết bị Internet of Things khác. Điều làm cho hoạt động này đặc biệt nguy hiểm là nhiều thiết bị đã được cài sẵn phần mềm độc hại trước khi người tiêu dùng mua chúng, trong khi những thiết bị khác bị xâm phạm trong quá trình thiết lập ban đầu thông qua các ứng dụng độc hại chứa backdoor.
Cách Thức Lây Lan Nhiễm Trùng
Các tội phạm mạng đã sử dụng hai phương pháp chính để xâm phạm thiết bị. Trong nhiều trường hợp, họ cấu hình sản phẩm với phần mềm độc hại trước khi người dùng mua, về cơ bản là bán phần cứng đã bị nhiễm cho những người tiêu dùng không nghi ngờ. Ngoài ra, các thiết bị bị nhiễm khi chúng tải xuống các ứng dụng cần thiết trong quá trình thiết lập, với những ứng dụng này chứa backdoor ẩn cấp quyền truy cập trái phép cho tội phạm. Một khi kết nối với mạng gia đình, những thiết bị bị xâm phạm này tự động gia nhập botnet BadBox 2.0 mà người dùng không hề biết hoặc đồng ý.
 |
|---|
| Kết nối router, một bước có thể dẫn đến các lỗ hổng bảo mật tiềm ẩn của thiết bị |
Hoạt Động Tội Phạm và Tác Động Tài Chính
Các thiết bị bị nhiễm phục vụ nhiều mục đích độc hại tạo ra doanh thu bất hợp pháp đáng kể cho các kẻ điều hành. Botnet này tạo điều kiện cho gian lận quảng cáo theo chương trình và gian lận click, làm tăng giả tạo các chỉ số quảng cáo để đánh cắp tiền từ các nhà quảng cáo hợp pháp. Ngoài ra, các thiết bị bị xâm phạm được bán như một phần của dịch vụ proxy dân cư, cho phép các tội phạm mạng khác định tuyến lưu lượng của họ qua mạng gia đình của nạn nhân để che giấu danh tính trong khi thực hiện các hoạt động bất hợp pháp khác nhau bao gồm chiếm đoạt tài khoản, tạo tài khoản giả, tấn công từ chối dịch vụ phân tán, phân phối phần mềm độc hại và đánh cắp mật khẩu.
Các Hoạt Động Tội Phạm Được Hỗ Trợ Bởi BadBox 2.0
- Hoạt Động Gian Lận Quảng Cáo: Gian lận quảng cáo theo chương trình và các kế hoạch gian lận nhấp chuột
- Dịch Vụ Proxy Dân Cư: Bán các thiết bị bị xâm phạm như mạng lưới proxy
- Tội Phạm Danh Tính: Chiếm đoạt tài khoản và tạo tài khoản giả mạo
- Tấn Công Mạng: Tấn công DDoS và phân phối phần mềm độc hại
- Đánh Cắp Dữ Liệu: Đánh cắp mật khẩu và thu thập thông tin đăng nhập
- Xâm Nhập Mạng: Truy cập trái phép vào mạng gia đình
Điều Tra Chung và Khám Phá
Hoạt động BadBox 2.0 được phát hiện thông qua nỗ lực hợp tác giữa các nhà nghiên cứu Google , HUMAN Security và Trend Micro . Đội ngũ Ad Traffic Quality của Google đã đóng vai trò quan trọng trong việc xác định các mẫu lưu lượng đáng ngờ và chặn các hoạt động gian lận. Sau những phát hiện của cuộc điều tra, Cục Điều tra Liên bang đã đưa ra thông báo dịch vụ công cộng cảnh báo người tiêu dùng về khả năng của botnet và khuyên họ kiểm tra các thiết bị kết nối của mình để tìm dấu hiệu bị xâm phạm, đặc biệt là những thiết bị từ các thương hiệu không rõ nguồn gốc hoặc thiết bị yêu cầu vô hiệu hóa Google Play Protect trong quá trình thiết lập.
Phản Ứng và Hành Động Pháp Lý của Google
Google đã triển khai nhiều biện pháp phòng thủ ngoài việc nộp đơn kiện. Công ty đã triển khai các bản cập nhật cho Google Play Protect tự động phát hiện và chặn các ứng dụng liên quan đến BadBox , ngay cả khi chúng được sideload từ các nguồn bên ngoài Play Store chính thức. Hành động pháp lý nhằm mục đích phá hủy hoàn toàn hoạt động tội phạm, cắt đứt khả năng của các thủ phạm để thực hiện thêm tội phạm và gian lận. Trong khi các biện pháp bảo vệ của Google đã thành công trong việc ngăn chặn mối đe dọa trước mắt, vụ kiện đại diện cho một cách tiếp cận chủ động để ngăn chặn các phiên bản tương lai của các âm mưu tương tự.
Các Biện Pháp Phòng Thủ của Google
| Hành Động | Mô Tả |
|---|---|
| Hành Động Pháp Lý | Đơn kiện liên bang được nộp tại tòa án New York |
| Cập Nhật Play Protect | Tự động chặn các ứng dụng liên quan đến BadBox |
| Chặn Lưu Lượng | Đội ngũ Chất Lượng Lưu Lượng Quảng Cáo chặn lưu lượng độc hại |
| Đóng Tài Khoản | Hàng nghìn tài khoản gian lận bị chấm dứt |
| Hợp Tác | Điều tra chung với HUMAN Security và Trend Micro |
Bảo Vệ Người Tiêu Dùng và Phòng Ngừa
Vụ việc BadBox 2.0 làm nổi bật những rủi ro bảo mật đáng kể liên quan đến việc mua các thiết bị Internet of Things giá rẻ từ các nhà sản xuất không quen thuộc. Người tiêu dùng bị thu hút bởi các lựa chọn thay thế chi phí thấp cho thiết bị streaming, máy tính bảng và các thiết bị kết nối khác có thể vô tình để lộ mạng gia đình của họ cho việc khai thác tội phạm mạng. Cuộc điều tra tiết lộ rằng những nhược điểm an ninh mạng tiềm ẩn của việc chọn các thiết bị rẻ hơn, chưa được chứng nhận có thể vượt xa lợi ích tiết kiệm chi phí ban đầu, vì các thiết bị bị xâm phạm có thể tạo điều kiện cho trộm cắp danh tính, gian lận tài chính và các tội phạm nghiêm trọng khác cuối cùng khiến nạn nhân tốn kém nhiều hơn số tiền tiết kiệm được khi mua phần cứng.