Hàng ngàn thiết bị Android bị cài sẵn phần mềm độc hại

Các nhà nghiên cứu vừa phát hiện 7 mẫu Android TV Box và một máy tính bảng được cài sẵn phần mềm độc hại, và những dấu hiệu cho thấy có hơn 200 mẫu thiết bị Android bị ảnh hưởng.

Android TV Box là một thiết bị nhỏ gọn giúp biến tivi thường thành TV thông minh. Trên thị trường hiện tại có rất nhiều loại Android TV Box khác nhau với đủ mọi thương hiệu và mức giá, tuy nhiên, đa phần đều có xuất xứ từ Trung Quốc.

Nhiều mẫu Android TV Box bị cài sẵn phần mềm độc hại

Vào tháng 1-2023, nhà nghiên cứu bảo mật Daniel Milisic đã phát hiện ra mẫu Android TV Box giá rẻ T95 có chứa phần mềm độc hại, và tất nhiên đây chỉ là phần nổi của tảng băng chìm.

Vừa qua, công ty an ninh mạng Human Security đã tiết lộ thêm thông tin chi tiết về vấn đề này, cũng như phạm vi ảnh hưởng và mạng lưới các âm mưu lừa đảo liên quan đến các mẫu Android TV Box.

Theo một báo cáo được chia sẻ độc quyền với Wired, các nhà nghiên cứu đã tìm thấy 7 mẫu Android TV Box và một máy tính bảng được cài sẵn phần mềm gián điệp (backdoor - cửa hậu), và một số dấu hiệu cho thấy có hơn 200 mẫu thiết bị Android khác nhau bị ảnh hưởng.

Gavin Reid, Giám đốc an ninh của Human Security, người đứng đầu nhóm nghiên cứu cho biết, công ty đã chia sẻ báo cáo chi tiết về các cơ sở nơi các thiết bị có thể được sản xuất với cơ quan thực thi pháp luật.

Nghiên cứu của Human Security được chia thành hai lĩnh vực: Badbox, liên quan đến các thiết bị Android bị xâm nhập và cách chúng liên quan đến gian lận và tội phạm mạng. Và thứ hai, được đặt tên là Peachpit, là một hoạt động gian lận quảng cáo liên quan đến ít nhất 39 ứng dụng Android và iOS.

Badbox đề cập đến các mẫu Android Box TV giá rẻ dưới 50 USD, được bán trực tuyến và trong các cửa hàng truyền thống. Những hộp giải mã tín hiệu này thường không có thương hiệu hoặc được bán dưới nhiều tên gọi khác nhau, một phần nhằm che giấu nguồn gốc của chúng.

Trong nửa cuối năm 2022, Human Security cho biết họ đã phát hiện ra một ứng dụng Android dường như được kết nối với tên miền flyermobi.com. Khi Milisic đăng những phát hiện ban đầu của mình về Android TV Box T95 vào tháng Giêng, nghiên cứu cũng chỉ ra tên miền flyermobi.

Tổng cộng, các nhà nghiên cứu đã xác nhận có 8 thiết bị được cài đặt backdoor (cửa hậu), bao gồm 7 mẫu Android TV Box T95, T95Z, T95MAX, X88, Q9, X12PLUS và MXQ Pro 5G và máy tính bảng J5-W. Human Security đã phát hiện ít nhất 74.000 thiết bị Android có dấu hiệu nhiễm Badbox trên toàn thế giới, bao gồm một số thiết bị trong các trường học trên khắp nước Mỹ.

Nhiều mẫu Android TV Box bị phát hiện có chứa phần mềm độc hại. Ảnh minh họa

Các mẫu Android TV Box này được sản xuất tại Trung Quốc. Ở đâu đó trước khi chúng đến tay các đại lý, một firmware có chứa backdoor (cửa hậu) đã được thêm vào. Backdoor này dựa trên phần mềm độc hại Triada được phát hiện lần đầu tiên bởi công ty bảo mật Kaspersky vào năm 2016, cho phép truy cập vào các ứng dụng được cài đặt trên thiết bị.

Human Security đã theo dõi nhiều loại gian lận liên quan đến các thiết bị bị xâm nhập, bao gồm gian lận quảng cáo, tạo tài khoản Gmail và WhatsApp giả mạo…

Fyodor Yarochkin, một nhà nghiên cứu mối đe dọa cấp cao tại công ty bảo mật Trend Micro, cho biết công ty đã thấy hai nhóm đe dọa Trung Quốc sử dụng các thiết bị Android có chứa backdoor.

39 phần mềm độc hại bị phát hiện

Peachpit là một yếu tố gian lận dựa trên ứng dụng, đã có mặt trên cả Android TV Box cũng như điện thoại Android và iPhone. Công ty đã xác định được 39 ứng dụng Android, iOS và TV box có liên quan.

Phần mềm độc hại Triada bị phát hiện trên các mẫu Android TV Box giá rẻ. Ảnh minh họa

Các ứng dụng độc hại đã thực hiện một loạt các hành vi gian lận, bao gồm quảng cáo ẩn, lưu lượng truy cập web giả mạo và quảng cáo độc hại. Nghiên cứu nói rằng những người đứng sau Peachpit có vẻ khác với những người đứng sau Badbox, nhưng có khả năng họ đang làm việc cùng nhau theo một cách nào đó.

Đã có tổng cộng 15 triệu lượt tải xuống các ứng dụng Android độc hại, những người đứng sau kế hoạch này có thể dễ dàng kiếm được 2 triệu USD chỉ trong một tháng.

Người phát ngôn của Google Ed Fernandez xác nhận 20 ứng dụng Android được báo cáo bởi Human Security đã bị xóa khỏi Play Store. Tương tự, Apple cũng xác nhận đã tìm thấy vấn đề trong số các ứng dụng được báo cáo.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]