-
09/04/2020
-
94
-
676 bài viết
BADBOX - Botnet mã độc đáng ngờ cài sẵn trên thiết bị Android
Một mạng botnet mới và nguy hiểm có tên BADBOX đang lây nhiễm hàng trăm nghìn thiết bị Android, với phần mềm độc hại thường được cài sẵn trước khi người dùng vô tình mở hộp.
Không như các botnet truyền thống yêu cầu người dùng tải phần mềm độc hại, BADBOX được nhúng trực tiếp vào firmware. Theo báo cáo từ BitSight và Censys, hơn 190.000 thiết bị, bao gồm cả TV Yandex 4K QLED, đã bị ảnh hưởng.
Dấu hiệu cho thấy một cuộc tấn công chuỗi cung ứng quy mô lớn, khi nhiều thiết bị giao tiếp với hạ tầng điều khiển của BADBOX ngay từ lúc hoạt động.
Các nhà nghiên cứu đã sử dụng nền tảng Internet Intelligence để truy vết cơ sở hạ tầng độc hại đứng sau BADBOX. Họ xác định được một chứng chỉ SSL/TLS đáng ngờ, được sử dụng chung cho toàn bộ hệ thống BADBOX, từ đó phát hiện ra 5 địa chỉ IP và nhiều tên miền đều do cùng một kẻ tấn công kiểm soát.
Phát hiện này có được nhờ tìm kiếm Distinguished Name (DN) của nhà phát hành chứng chỉ: “c=65 ST=singapore, L=singapore, O=singapre, OU=sall, CN=saee”. Kết quả cho thấy một chứng chỉ tự ký duy nhất được sử dụng trên toàn bộ cơ sở hạ tầng của BADBOX, củng cố giả thuyết rằng một kẻ tấn công duy nhất đứng sau chiến dịch này.
Điều tra sâu hơn cho thấy cả 5 địa chỉ IP liên quan đến BADBOX đều sử dụng cùng một khóa SSH host key, cho thấy chúng được thiết lập trong một môi trường mẫu hóa.
Botnet BADBOX là một mối đe dọa nghiêm trọng đối với bảo mật và quyền riêng tư của người dùng Android. Việc phần mềm độc hại này thường được cài đặt sẵn khiến người dùng gần như không thể tự bảo vệ mình.
Người dùng được khuyến cáo:
Dấu hiệu cho thấy một cuộc tấn công chuỗi cung ứng quy mô lớn, khi nhiều thiết bị giao tiếp với hạ tầng điều khiển của BADBOX ngay từ lúc hoạt động.
Các nhà nghiên cứu đã sử dụng nền tảng Internet Intelligence để truy vết cơ sở hạ tầng độc hại đứng sau BADBOX. Họ xác định được một chứng chỉ SSL/TLS đáng ngờ, được sử dụng chung cho toàn bộ hệ thống BADBOX, từ đó phát hiện ra 5 địa chỉ IP và nhiều tên miền đều do cùng một kẻ tấn công kiểm soát.
Phát hiện này có được nhờ tìm kiếm Distinguished Name (DN) của nhà phát hành chứng chỉ: “c=65 ST=singapore, L=singapore, O=singapre, OU=sall, CN=saee”. Kết quả cho thấy một chứng chỉ tự ký duy nhất được sử dụng trên toàn bộ cơ sở hạ tầng của BADBOX, củng cố giả thuyết rằng một kẻ tấn công duy nhất đứng sau chiến dịch này.
Điều tra sâu hơn cho thấy cả 5 địa chỉ IP liên quan đến BADBOX đều sử dụng cùng một khóa SSH host key, cho thấy chúng được thiết lập trong một môi trường mẫu hóa.
Botnet BADBOX là một mối đe dọa nghiêm trọng đối với bảo mật và quyền riêng tư của người dùng Android. Việc phần mềm độc hại này thường được cài đặt sẵn khiến người dùng gần như không thể tự bảo vệ mình.
Người dùng được khuyến cáo:
- Chỉ mua thiết bị từ nguồn uy tín, hạn chế sản phẩm từ thương hiệu kém tên tuổi
- Cập nhật firmware thường xuyên để giảm thiểu lỗ hổng bảo mật
- Cài đặt phần mềm bảo mật để phát hiện và ngăn chặn các hoạt động đáng ngờ
Theo Security Online
Chỉnh sửa lần cuối: