Chiếc hộp Android TV giá rẻ của bạn có thể ẩn một con đường nguy hiểm

Khi bạn mua một hộp phát sóng TV, có những điều bạn không ngờ nó sẽ làm. Nó không nên bí mật chứa đựng phần mềm độc hại hoặc liên lạc với máy chủ ở Trung Quốc khi được bật. Chắc chắn là nó không nên hoạt động như một nút trong một kế hoạch tội phạm tổ chức kiếm hàng triệu đô la thông qua gian lận. Tuy nhiên, đó là thực tế đối với hàng nghìn người không hề biết rằng họ sở hữu các thiết bị Android TV giá rẻ.

Vào tháng 1, nhà nghiên cứu an ninh Daniel Milisic phát hiện ra rằng một hộp phát sóng TV Android giá rẻ có tên là T95 đã bị nhiễm malware ngay khi mở hộp, với nhiều nghiên cứu viên khác xác nhận các kết quả. Nhưng đó chỉ là phần nổi của tảng băng. Hôm nay, công ty an ninh mạng Human Security đang tiết lộ chi tiết mới về phạm vi của các thiết bị bị nhiễm và mạng lưới gian lận ẩn sau liên quan đến các hộp phát sóng.

Các nghiên cứu viên của Human Security phát hiện ra bảy hộp Android TV và một tablet có cài đặt cánh cửa sau, và họ đã thấy dấu hiệu của 200 mô hình thiết bị Android khác nhau có thể bị ảnh hưởng, theo một báo cáo chỉ chia sẻ với MYTOUR. Các thiết bị này có mặt trong các gia đình, doanh nghiệp và trường học trên khắp Hoa Kỳ. Trong khi đó, Human Security nói rằng họ cũng đã ngăn chặn gian lận quảng cáo liên quan đến kế hoạch, có lẽ đã giúp thanh toán cho hoạt động này.

“Chúng giống như một công cụ đa năng của việc làm những điều xấu trên internet,” nói Gavin Reid, Giám đốc An ninh thông tin tại Human Security, người dẫn đầu đội Satori Threat Intelligence and Research của công ty. “Đây là một cách thực sự phân tán để thực hiện gian lận.” Reid nói rằng công ty đã chia sẻ chi tiết về những cơ sở sản xuất nơi các thiết bị có thể đã được sản xuất với các cơ quan chức năng.

Nghiên cứu của Human Security được chia thành hai lĩnh vực: Badbox, liên quan đến các thiết bị Android bị chiếm đóng và cách chúng tham gia vào gian lận và tội phạm mạng. Và thứ hai, được đặt tên là Peachpit, là một hoạt động lừa đảo quảng cáo liên quan đến ít nhất 39 ứng dụng Android và iOS. Google nói rằng họ đã gỡ bỏ các ứng dụng sau khi nghiên cứu của Human Security, trong khi Apple nói rằng họ đã phát hiện vấn đề trong một số ứng dụng được báo cáo.

Trước hết, về Badbox. Các hộp phát sóng Android giá rẻ, thường có giá dưới 50 đô la, được bán trực tuyến và trong cửa hàng vật liệu xây dựng. Những hộp truyền hình này thường không có nhãn hiệu hoặc được bán dưới các tên khác nhau, một phần là để làm mờ nguồn gốc của chúng. Trong nửa cuối năm 2022, theo báo cáo của Human Security, các nghiên cứu viên của họ phát hiện ra một ứng dụng Android có vẻ liên quan đến lưu lượng không xác định và kết nối với tên miền flyermobi.com. Khi Milisic đăng thông tin ban đầu về hộp Android T95 vào tháng 1, nghiên cứu cũng chỉ đến miền flyermobi. Đội ngũ tại Human đã mua hộp và nhiều hơn thế, và bắt đầu khám phá.

Tổng cộng, các nhà nghiên cứu xác nhận có tám thiết bị đã cài đặt cánh cửa sau—bảy hộp truyền hình, T95, T95Z, T95MAX, X88, Q9, X12PLUS và MXQ Pro 5G, và một tablet J5-W. (Một số trong số này cũng đã được xác định bởi các nghiên cứu an ninh khác nghiên cứu về vấn đề này trong những tháng gần đây). Báo cáo của công ty, có nhà khoa học dữ liệu Marion Habiby làm tác giả chính, nói rằng Human Security phát hiện ra ít nhất 74.000 thiết bị Android có dấu hiệu nhiễm Badbox trên toàn thế giới—bao gồm một số trong các trường học trên khắp Hoa Kỳ.

Các thiết bị TV được sản xuất tại Trung Quốc. Ở một nơi nào đó trước khi chúng đến tay người bán lại—nhà nghiên cứu không biết chính xác là ở đâu—một cánh cửa sau firmware được thêm vào. Cánh cửa sau này, dựa trên phần mềm độc hại Triada được công ty an ninh Kaspersky phát hiện lần đầu vào năm 2016, sửa đổi một yếu tố của hệ điều hành Android, cho phép nó truy cập các ứng dụng được cài đặt trên thiết bị. Sau đó, nó liên lạc về nhà. “Người dùng không hề biết, khi bạn cắm thứ này vào, nó sẽ đến một trung tâm điều khiển (C2) ở Trung Quốc, tải xuống một bộ lệnh và bắt đầu thực hiện một loạt các hành động xấu,” Reid nói.

Human Security theo dõi nhiều loại gian lận liên quan đến các thiết bị bị chiếm đóng. Điều này bao gồm gian lận quảng cáo; dịch vụ proxy nhà ở, nơi nhóm đằng sau kế hoạch bán quyền truy cập vào mạng nhà bạn; tạo ra tài khoản Gmail và WhatsApp giả mạo bằng cách sử dụng các kết nối; và cài đặt mã từ xa. Nhóm đằng sau kế hoạch này đã bán quyền truy cập vào các mạng nhà ở với mục đích thương mại, theo báo cáo của công ty, tuyên bố có quyền truy cập vào hơn 10 triệu địa chỉ IP nhà ở và 7 triệu địa chỉ IP di động.

Những kết quả này phù hợp với những nghiên cứu và cuộc điều tra tiếp tục của các nhà nghiên cứu khác. Fyodor Yarochkin, một nhà nghiên cứu đe dọa cấp cao tại công ty an ninh Trend Micro, nói rằng công ty đã nhìn thấy hai nhóm đe dọa Trung Quốc đã sử dụng các thiết bị Android có cánh cửa sau—một trong số đó đã được nghiên cứu sâu, cái còn lại là cái mà Human Security đã xem xét. “Sự nhiễm bệnh của các thiết bị khá tương tự,” Yarochkin nói.

Trend Micro đã tìm thấy một “công ty front end” cho nhóm mà họ nghiên cứu ở Trung Quốc, Yarochkin nói. “Họ tuyên bố rằng họ có hơn 20 triệu thiết bị nhiễm bệnh trên toàn thế giới, với đến 2 triệu thiết bị đang trực tuyến tại bất kỳ thời điểm nào,” anh ta nói. Dựa trên dữ liệu mạng của Trend Micro, Yarochkin tin rằng những con số này là đáng tin cậy. “Có một chiếc tablet ở một trong các bảo tàng nào đó ở châu Âu,” Yarochkin nói thêm, anh tin rằng có thể đã có tác động đến rộng lớn hệ thống Android, bao gồm cả trong các xe ô tô. “Đối với họ, thâm nhập vào chuỗi cung ứng rất dễ dàng,” anh ta nói. “Và đối với các nhà sản xuất, việc phát hiện thực sự khó khăn.”

Sau đó là điều mà Human Security gọi là Peachpit. Đây là một yếu tố gian lận dựa trên ứng dụng, đã xuất hiện cả trên các hộp TV cũng như điện thoại Android và iPhone, Reid nói. Công ty xác định được 39 ứng dụng Android, iOS và hộp TV liên quan. “Đây là các ứng dụng dựa trên mẫu—không có chất lượng cao,” Joao Santos, một nghiên cứu viên an ninh tại công ty nói. Có các ứng dụng về việc phát triển cơ bắp sáu múi và ghi lại lượng nước một người uống.

Các ứng dụng thực hiện một loạt các hành vi gian lận, bao gồm quảng cáo ẩn, lưu lượng web giả mạo và quảng cáo độc hại. Nghiên cứu cho biết trong khi những người đứng sau Peachpit có vẻ khác biệt so với những người đứng sau Badbox, có khả năng họ đang cùng nhau làm việc một cách nào đó. “Họ có SDK thực hiện phần gian lận quảng cáo, và chúng tôi đã tìm thấy một phiên bản của SDK này khớp với tên của mô-đun được thả vào Badbox,” Santos nói, đề cập đến một bộ phát triển phần mềm. “Đó là một cấp độ kết nối khác mà chúng tôi đã tìm thấy.”

Nghiên cứu của Human Security cho biết quảng cáo liên quan đã thực hiện 4 tỷ yêu cầu quảng cáo mỗi ngày, ảnh hưởng đến 121,000 thiết bị Android và 159,000 thiết bị iOS. Tính đến thời điểm nghiên cứu, đã có 15 triệu lượt tải xuống cho các ứng dụng Android, các nhà nghiên cứu tính toán. (Cánh cửa sau Badbox chỉ được tìm thấy trên Android, không có trên bất kỳ thiết bị iOS nào.) Reid nói rằng dựa trên dữ liệu mà công ty có, không phải là một bức tranh hoàn chỉnh do sự phức tạp của ngành quảng cáo, những người đứng sau kế hoạch có thể dễ dàng kiếm được 2 triệu đô la trong một tháng duy nhất.

Người phát ngôn Google Ed Fernandez xác nhận 20 ứng dụng Android được báo cáo bởi Human Security đã bị gỡ bỏ khỏi Cửa hàng Play. “Các thiết bị thương hiệu không chính thức được phát hiện nhiễm Badbox không phải là thiết bị Android được chứng nhận Play Protect,” Fernandez nói, đề cập đến hệ thống kiểm tra bảo mật của Google cho thiết bị Android. “Nếu thiết bị không được chứng nhận Play Protect, Google không có bản ghi về kết quả kiểm tra bảo mật và tương thích.” Công ty có một danh sách các đối tác Android TV được chứng nhận. Người phát ngôn Apple Archelle Thelemaque nói rằng họ đã tìm thấy năm ứng dụng trong số những ứng dụng Human báo cáo vi phạm hướng dẫn của mình và các nhà phát triển được 14 ngày để làm theo các quy tắc. Bốn trong số chúng đã làm như vậy, tính đến thời điểm xuất bản.

Gần cuối năm 2022 và trong đầu năm nay, Reid cho biết, Human Security đã hành động chống lại yếu tố gian lận quảng cáo của Badbox và Peachpit. Theo dữ liệu được chia sẻ bởi công ty, lượng yêu cầu quảng cáo gian lận từ các kế hoạch hiện nay đã hoàn toàn giảm bớt. Nhưng những kẻ tấn công đã thích ứng với sự làm phiền trong thời gian thực. Santos nói rằng khi biện pháp ngăn chặn được triển khai lần đầu, những người đứng sau các kế hoạch bắt đầu bằng cách gửi một bản cập nhật để làm mờ đi những gì họ đang làm. Sau đó, anh ta nói, những người đứng sau Badbox đã tắt các máy chủ C2 cung cấp năng lượng cho cánh cửa sau firmware.

Mặc dù những kẻ tấn công đã bị làm chậm lại, những hộp vẫn còn ở trong nhà của người dùng và trên mạng của họ. Và trừ khi ai đó có kỹ năng kỹ thuật, vi rút rất khó loại bỏ. “Bạn có thể nghĩ về những Badbox này như những tế bào ngủ. Chúng chỉ đang đợi bộ lệnh,” Reid nói. Cuối cùng, đối với những người mua hộp phát sóng TV, lời khuyên là mua các thiết bị có nhãn hiệu, nơi nhà sản xuất rõ ràng và đáng tin cậy. Như Reid nói, “Bạn bè không để bạn cắm các thiết bị IoT kỳ quái vào mạng nhà họ.”