Ít nhất bốn tác nhân đe dọa khác nhau đã được xác định có liên quan đến phiên bản cập nhật của chương trình lừa đảo quảng cáo và proxy dân dụng quy mô lớn có tên BADBOX , cho thấy bức tranh về một hệ sinh thái tội phạm mạng có sự liên kết chặt chẽ.
Theo những phát hiện mới từ nhóm HUMAN Satori Threat Intelligence and Research, được công bố với sự hợp tác của Google, Trend Micro, Shadowserver và các đối tác khác, các công ty này bao gồm SalesTracker Group, MoYu Group, Lemon Group và LongTV.
"Hoạt động gian lận phức tạp và mở rộng" này có tên mã là BADBOX 2.0. Nó được mô tả là mạng botnet lớn nhất của các thiết bị TV kết nối (CTV) bị nhiễm từng được phát hiện.
"BADBOX 2.0, giống như phiên bản trước, bắt đầu bằng các cửa hậu trên các thiết bị tiêu dùng giá rẻ cho phép các tác nhân đe dọa tải các mô-đun gian lận từ xa", công ty cho biết . "Các thiết bị này giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) do một loạt các tác nhân đe dọa riêng biệt nhưng hợp tác sở hữu và vận hành".
Những kẻ đe dọa này được biết đến là đã khai thác một số phương pháp, từ việc xâm phạm chuỗi cung ứng phần cứng đến các thị trường của bên thứ ba, để phân phối những ứng dụng có vẻ vô hại nhưng thực chất chứa chức năng "nạp" bí mật nhằm lây nhiễm các thiết bị và ứng dụng này bằng cửa hậu.
Cửa sau sau đó khiến các thiết bị bị nhiễm trở thành một phần của mạng botnet lớn hơn bị lạm dụng để gian lận quảng cáo theo chương trình, gian lận nhấp chuột và cung cấp các dịch vụ proxy dân dụng bất hợp pháp -
Quảng cáo ẩn và khởi chạy WebView ẩn để tạo doanh thu quảng cáo giả
Điều hướng đến các tên miền chất lượng thấp và nhấp vào quảng cáo để kiếm lợi nhuận
Định tuyến lưu lượng truy cập qua các thiết bị bị xâm phạm
Sử dụng mạng để chiếm đoạt tài khoản (ATO), tạo tài khoản giả, phân phối phần mềm độc hại và tấn công DDoS
Có tới một triệu thiết bị, chủ yếu bao gồm máy tính bảng Android giá rẻ, hộp TV kết nối (CTV), máy chiếu kỹ thuật số và hệ thống thông tin giải trí trên ô tô, được ước tính đã trở thành nạn nhân của chương trình BADBOX 2.0. Tất cả các thiết bị bị ảnh hưởng đều được sản xuất tại Trung Quốc đại lục và được vận chuyển trên toàn cầu. Phần lớn các ca nhiễm đã được báo cáo ở Brazil (37,6%), United States (18,2%), Mexico (6,3%) và Argentina (5,3%).
Hoạt động này đã bị gián đoạn một phần lần thứ hai trong ba tháng sau khi một số lượng không được tiết lộ các tên miền BADBOX 2.0 đã bị chìm xuống trong nỗ lực cắt đứt liên lạc với các thiết bị bị nhiễm. Về phần mình, Google đã xóa một bộ gồm 24 ứng dụng khỏi Cửa hàng Play đã phân phối phần mềm độc hại. Một phần cơ sở hạ tầng của nó đã bị chính phủ Đức gỡ xuống trước đó vào tháng 12 năm 2024.
"Các thiết bị bị nhiễm là các thiết bị thuộc Dự án nguồn mở Android, không phải thiết bị Android TV OS hoặc thiết bị Android được chứng nhận Play Protect", Google cho biết. "Nếu một thiết bị không được chứng nhận Play Protect, Google sẽ không có hồ sơ về kết quả kiểm tra khả năng tương thích và bảo mật. Các thiết bị Android được chứng nhận Play Protect sẽ trải qua quá trình kiểm tra mở rộng để đảm bảo chất lượng và sự an toàn của người dùng".
Cửa hậu tạo nên cốt lõi của hoạt động này dựa trên phần mềm độc hại Android có tên là Triada. Có tên mã là BB2DOOR, phần mềm này được phát tán theo ba cách khác nhau: Một thành phần được cài đặt sẵn trên thiết bị, được lấy từ máy chủ từ xa khi khởi động lần đầu tiên và được tải xuống thông qua hơn 200 phiên bản trojan của các ứng dụng phổ biến từ các cửa hàng của bên thứ ba.
Người ta cho rằng đây là tác phẩm của một nhóm đe dọa có tên là MoYu Group, chuyên quảng cáo các dịch vụ proxy dân dụng được xây dựng trên các thiết bị bị nhiễm BADBOX 2.0. Ba nhóm đe dọa khác chịu trách nhiệm giám sát các khía cạnh khác của chương trình -
SalesTracker Group, được kết nối với hoạt động BADBOX ban đầu cũng như một mô-đun giám sát các thiết bị bị nhiễm
Lemon Group , được kết nối với các dịch vụ proxy dân dụng dựa trên BADBOX và một chiến dịch gian lận quảng cáo trên mạng lưới các trang web trò chơi HTML5 (H5) sử dụng BADBOX 2.0
LongTV, một công ty truyền thông và internet của Malaysia có hai chục ứng dụng đứng sau một chiến dịch gian lận quảng cáo dựa trên một phương pháp được gọi là " song sinh độc ác "
HUMAN cho biết: "Các nhóm này được kết nối với nhau thông qua cơ sở hạ tầng chung (máy chủ C2 chung) và các mối quan hệ kinh doanh trong quá khứ và hiện tại".
Phiên bản mới nhất thể hiện sự tiến hóa và thích nghi đáng kể, trong đó các cuộc tấn công cũng dựa vào các ứng dụng bị nhiễm từ các cửa hàng ứng dụng của bên thứ ba và phiên bản phần mềm độc hại tinh vi hơn đòi hỏi phải sửa đổi các thư viện Android hợp pháp để thiết lập khả năng tồn tại lâu dài.
Điều thú vị là có một số bằng chứng cho thấy sự chồng chéo giữa BB2DOOR và Vo1d , một phần mềm độc hại khác được biết đến với mục tiêu cụ thể là các hộp TV chạy Android không chính hãng.
"Mối đe dọa BADBOX 2.0 nói riêng có sức hấp dẫn không nhỏ vì bản chất hoạt động theo mùa mở", công ty cho biết thêm. "Với backdoor tại chỗ, các thiết bị bị nhiễm có thể được hướng dẫn thực hiện bất kỳ cuộc tấn công mạng nào do tác nhân đe dọa phát triển".
Sự phát triển này diễn ra sau khi Google xóa hơn 180 ứng dụng Android với 56 triệu lượt tải xuống vì liên quan đến một chương trình gian lận quảng cáo tinh vi có tên Vapor, lợi dụng các ứng dụng Android giả để triển khai các quảng cáo video xen kẽ toàn màn hình vô tận và gây khó chịu, theo IAS Threat Lab.
Tiếp theo đó là việc phát hiện ra một chiến dịch mới sử dụng các trang web lừa đảo theo chủ đề DeepSeek để lừa người dùng nhẹ dạ tải xuống phần mềm độc hại ngân hàng Android có tên gọi là Octo.
Source: https://thehackernews.com/
Theo những phát hiện mới từ nhóm HUMAN Satori Threat Intelligence and Research, được công bố với sự hợp tác của Google, Trend Micro, Shadowserver và các đối tác khác, các công ty này bao gồm SalesTracker Group, MoYu Group, Lemon Group và LongTV.
"Hoạt động gian lận phức tạp và mở rộng" này có tên mã là BADBOX 2.0. Nó được mô tả là mạng botnet lớn nhất của các thiết bị TV kết nối (CTV) bị nhiễm từng được phát hiện.
"BADBOX 2.0, giống như phiên bản trước, bắt đầu bằng các cửa hậu trên các thiết bị tiêu dùng giá rẻ cho phép các tác nhân đe dọa tải các mô-đun gian lận từ xa", công ty cho biết . "Các thiết bị này giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) do một loạt các tác nhân đe dọa riêng biệt nhưng hợp tác sở hữu và vận hành".
Những kẻ đe dọa này được biết đến là đã khai thác một số phương pháp, từ việc xâm phạm chuỗi cung ứng phần cứng đến các thị trường của bên thứ ba, để phân phối những ứng dụng có vẻ vô hại nhưng thực chất chứa chức năng "nạp" bí mật nhằm lây nhiễm các thiết bị và ứng dụng này bằng cửa hậu.
Cửa sau sau đó khiến các thiết bị bị nhiễm trở thành một phần của mạng botnet lớn hơn bị lạm dụng để gian lận quảng cáo theo chương trình, gian lận nhấp chuột và cung cấp các dịch vụ proxy dân dụng bất hợp pháp -
Quảng cáo ẩn và khởi chạy WebView ẩn để tạo doanh thu quảng cáo giả
Điều hướng đến các tên miền chất lượng thấp và nhấp vào quảng cáo để kiếm lợi nhuận
Định tuyến lưu lượng truy cập qua các thiết bị bị xâm phạm
Sử dụng mạng để chiếm đoạt tài khoản (ATO), tạo tài khoản giả, phân phối phần mềm độc hại và tấn công DDoS
Có tới một triệu thiết bị, chủ yếu bao gồm máy tính bảng Android giá rẻ, hộp TV kết nối (CTV), máy chiếu kỹ thuật số và hệ thống thông tin giải trí trên ô tô, được ước tính đã trở thành nạn nhân của chương trình BADBOX 2.0. Tất cả các thiết bị bị ảnh hưởng đều được sản xuất tại Trung Quốc đại lục và được vận chuyển trên toàn cầu. Phần lớn các ca nhiễm đã được báo cáo ở Brazil (37,6%), United States (18,2%), Mexico (6,3%) và Argentina (5,3%).
Hoạt động này đã bị gián đoạn một phần lần thứ hai trong ba tháng sau khi một số lượng không được tiết lộ các tên miền BADBOX 2.0 đã bị chìm xuống trong nỗ lực cắt đứt liên lạc với các thiết bị bị nhiễm. Về phần mình, Google đã xóa một bộ gồm 24 ứng dụng khỏi Cửa hàng Play đã phân phối phần mềm độc hại. Một phần cơ sở hạ tầng của nó đã bị chính phủ Đức gỡ xuống trước đó vào tháng 12 năm 2024.
"Các thiết bị bị nhiễm là các thiết bị thuộc Dự án nguồn mở Android, không phải thiết bị Android TV OS hoặc thiết bị Android được chứng nhận Play Protect", Google cho biết. "Nếu một thiết bị không được chứng nhận Play Protect, Google sẽ không có hồ sơ về kết quả kiểm tra khả năng tương thích và bảo mật. Các thiết bị Android được chứng nhận Play Protect sẽ trải qua quá trình kiểm tra mở rộng để đảm bảo chất lượng và sự an toàn của người dùng".
Cửa hậu tạo nên cốt lõi của hoạt động này dựa trên phần mềm độc hại Android có tên là Triada. Có tên mã là BB2DOOR, phần mềm này được phát tán theo ba cách khác nhau: Một thành phần được cài đặt sẵn trên thiết bị, được lấy từ máy chủ từ xa khi khởi động lần đầu tiên và được tải xuống thông qua hơn 200 phiên bản trojan của các ứng dụng phổ biến từ các cửa hàng của bên thứ ba.
Người ta cho rằng đây là tác phẩm của một nhóm đe dọa có tên là MoYu Group, chuyên quảng cáo các dịch vụ proxy dân dụng được xây dựng trên các thiết bị bị nhiễm BADBOX 2.0. Ba nhóm đe dọa khác chịu trách nhiệm giám sát các khía cạnh khác của chương trình -
SalesTracker Group, được kết nối với hoạt động BADBOX ban đầu cũng như một mô-đun giám sát các thiết bị bị nhiễm
Lemon Group , được kết nối với các dịch vụ proxy dân dụng dựa trên BADBOX và một chiến dịch gian lận quảng cáo trên mạng lưới các trang web trò chơi HTML5 (H5) sử dụng BADBOX 2.0
LongTV, một công ty truyền thông và internet của Malaysia có hai chục ứng dụng đứng sau một chiến dịch gian lận quảng cáo dựa trên một phương pháp được gọi là " song sinh độc ác "
HUMAN cho biết: "Các nhóm này được kết nối với nhau thông qua cơ sở hạ tầng chung (máy chủ C2 chung) và các mối quan hệ kinh doanh trong quá khứ và hiện tại".
Phiên bản mới nhất thể hiện sự tiến hóa và thích nghi đáng kể, trong đó các cuộc tấn công cũng dựa vào các ứng dụng bị nhiễm từ các cửa hàng ứng dụng của bên thứ ba và phiên bản phần mềm độc hại tinh vi hơn đòi hỏi phải sửa đổi các thư viện Android hợp pháp để thiết lập khả năng tồn tại lâu dài.
Điều thú vị là có một số bằng chứng cho thấy sự chồng chéo giữa BB2DOOR và Vo1d , một phần mềm độc hại khác được biết đến với mục tiêu cụ thể là các hộp TV chạy Android không chính hãng.
"Mối đe dọa BADBOX 2.0 nói riêng có sức hấp dẫn không nhỏ vì bản chất hoạt động theo mùa mở", công ty cho biết thêm. "Với backdoor tại chỗ, các thiết bị bị nhiễm có thể được hướng dẫn thực hiện bất kỳ cuộc tấn công mạng nào do tác nhân đe dọa phát triển".
Sự phát triển này diễn ra sau khi Google xóa hơn 180 ứng dụng Android với 56 triệu lượt tải xuống vì liên quan đến một chương trình gian lận quảng cáo tinh vi có tên Vapor, lợi dụng các ứng dụng Android giả để triển khai các quảng cáo video xen kẽ toàn màn hình vô tận và gây khó chịu, theo IAS Threat Lab.
Tiếp theo đó là việc phát hiện ra một chiến dịch mới sử dụng các trang web lừa đảo theo chủ đề DeepSeek để lừa người dùng nhẹ dạ tải xuống phần mềm độc hại ngân hàng Android có tên gọi là Octo.
Source: https://thehackernews.com/
