Vn-Z.vn Ngày 08 tháng 10 năm 2023, Theo một báo cáo mới từ công ty an ninh mạng Human Security , công ty này phát hiện sự tồn tại của các mã độc dưới dạng backdoor là Badbox và Peachpit, trong các thiết bị TV Box Android phổ biến và được sử dụng rộng rãi trên thị trường.
Cụ thể vào ngày 04 tháng 10 năm 2023, , nhóm Nghiên cứu an ninh mạng Satori thuộc Human Security cho biết có những dấu hiệu cho thấy khoảng 200 mẫu TVBox Android có thể chứa phần mềm độc hại và sự tồn tại của một mạng lưới tổ chức chuyên thực hiện các hành vi gian lận đứng sau.
Human Security đã phân tích 7 thiết bị TVbox Android và một máy tính bảng họ đã phát hiện các backdoor được cài đặt trên tất cả chúng. Dưới đây là các mẫu đã được các chuyên gia an ninh mạng kiểm tra và công bố :
Tất cả các thiết bị TVbox Android này đều là những thiết bị tương đối phổ biến và có nhiều người đã mua và sử dụng. Trong đó , đáng lưu ý là, T95 là một mẫu TV Box đã được biết đến là có chứa phần mềm độc hại được cài đặt sẵn được phát hiện vào tháng 1 năm 2023 bởi Daniel Milisic, một chuyên gia tư vấn hạ tầng và hệ thống bảo mật nguồn gốc Canada, ông phát hiện phần mềm độc hại trên TV Box T95 mà ông mua qua Amazon.
Vào tháng 2 năm 2023, các chuyên gia nghiên cứu của Malwarebytes đã xác nhận rằng có phần mềm độc hại được cài đặt sẵn trên TV Box T95 này. Tuy nhiên, cho đến ngày hôm nay, người dùng vẫn có thể mua loại TVBox mẫu T95 này trên các nền tảng thương mại điện tử .
Các chuyên gia từ Human Security mô tả mạng lưới backdoor được cài cắm trên các thiết bị TV Box Android này như một "con dao đa năng chuyên làm những việc xấu trên internet." Human Security nhấn mạnh rằng mạng lưới này có vẻ là một tổ chức rất chuyên nghiệp .
Trong bài đăng trên blog của Human Security, các chuyên gia nghiên cứu lưu ý rằng backdoor Badbox được cài sẵn trên các thiết bị TVbox Android được sản xuất tại Trung Quốc trước khi được gửi đến các nhà phân phối. Sau khi các thiết bị được kích hoạt , phần mềm độc hại sẽ kết nối với một máy chủ C2 tại Trung Quốc.
Mã độc sẽ tải về một tập hợp các hướng dẫn thông báo cho nó về các hoạt động gian lận, độc hại mà mã độc sẽ thực hiện trên thiết bị. Mã độc có thể thực hiện các hành vi như gian lận quảng cáo, tạo tài khoản WhatsApp và Gmail giả mạo, bán quyền truy cập vào mạng gia đình , cài đặt mã điều khiển từ xa.
Backdoor Badbox trên TVbox còn có thể cài đặt các ứng dụng bị lạ khác trên các thiết bị. Backdoor này thay đổi một thành phần của hệ điều hành Android, buộc thực thi mã và truy cập các ứng dụng đã được cài đặt trên thiết bị. Trong quá trình nghiên cứu, Human Security phát hiện ra các loại gian lận khác nhau liên quan đến các thiết bị bị nhiễm, bao gồm dịch vụ proxy và gian lận quảng cáo, và nhận thấy nhóm tổ chức đứng sau chiến dịch này đang bán quyền truy cập vào mạng gia đình.
Trong file báo cáo kỹ thuật (PDF) từ Human Security , họ nhấn mạnh sự tập trung của họ vào một mã độc khác được gọi là PEACHPIT, một thành phần gian lận quảng cáo của Badbox. PEACHPIT có khả năng tạo ra lưu lượng web giả mạo, hiển thị quảng cáo ẩn và phân phối quảng cáo độc hại trên cả thiết bị và ứng dụng Android và iOS.
Mã độc gian lận quảng cáo PEACHPIT đã nhiễm 121.000 thiết bị Android và 159.000 thiết bị iOS . ( theo báo cáo kỹ thuật Human security)
Các chuyên gia nghiên cứu đã phát hiện 39 ứng dụng cho iOS, Android và TV Box chứa Peachpit. Đáng chú ý, Peachpit có thể hoạt động trên cả thiết bị Android và iOS, trong khi Badbox chỉ nhắm vào các thiết bị Android.
Peachpit là một bộ sưu tập gồm 39 ứng dụng tập trung vào hệ điều hành Android, iOS và TV Box, mỗi ứng dụng đều chứa một kết nối mã hóa cứng với một nền tảng giả mạo phía cung cấp (SSP), từ đó chèn một đoạn mã JavaScript vào WebView của ứng dụng để thu thập thông tin về thiết bị đang chạy ứng dụng trước khi khởi chạy quảng cáo.
Vn-Z.vn team tổng hợp tham khảo Human security
Cụ thể vào ngày 04 tháng 10 năm 2023, , nhóm Nghiên cứu an ninh mạng Satori thuộc Human Security cho biết có những dấu hiệu cho thấy khoảng 200 mẫu TVBox Android có thể chứa phần mềm độc hại và sự tồn tại của một mạng lưới tổ chức chuyên thực hiện các hành vi gian lận đứng sau.
Mã:
Q9
T95
X88
T95Z
J5-W
T95MAX
X12PLUS
MXQ Pro 5G
Vào tháng 2 năm 2023, các chuyên gia nghiên cứu của Malwarebytes đã xác nhận rằng có phần mềm độc hại được cài đặt sẵn trên TV Box T95 này. Tuy nhiên, cho đến ngày hôm nay, người dùng vẫn có thể mua loại TVBox mẫu T95 này trên các nền tảng thương mại điện tử .
Các chuyên gia từ Human Security mô tả mạng lưới backdoor được cài cắm trên các thiết bị TV Box Android này như một "con dao đa năng chuyên làm những việc xấu trên internet." Human Security nhấn mạnh rằng mạng lưới này có vẻ là một tổ chức rất chuyên nghiệp .
Trong bài đăng trên blog của Human Security, các chuyên gia nghiên cứu lưu ý rằng backdoor Badbox được cài sẵn trên các thiết bị TVbox Android được sản xuất tại Trung Quốc trước khi được gửi đến các nhà phân phối. Sau khi các thiết bị được kích hoạt , phần mềm độc hại sẽ kết nối với một máy chủ C2 tại Trung Quốc.
Mã độc sẽ tải về một tập hợp các hướng dẫn thông báo cho nó về các hoạt động gian lận, độc hại mà mã độc sẽ thực hiện trên thiết bị. Mã độc có thể thực hiện các hành vi như gian lận quảng cáo, tạo tài khoản WhatsApp và Gmail giả mạo, bán quyền truy cập vào mạng gia đình , cài đặt mã điều khiển từ xa.
Backdoor Badbox trên TVbox còn có thể cài đặt các ứng dụng bị lạ khác trên các thiết bị. Backdoor này thay đổi một thành phần của hệ điều hành Android, buộc thực thi mã và truy cập các ứng dụng đã được cài đặt trên thiết bị. Trong quá trình nghiên cứu, Human Security phát hiện ra các loại gian lận khác nhau liên quan đến các thiết bị bị nhiễm, bao gồm dịch vụ proxy và gian lận quảng cáo, và nhận thấy nhóm tổ chức đứng sau chiến dịch này đang bán quyền truy cập vào mạng gia đình.
Trong file báo cáo kỹ thuật (PDF) từ Human Security , họ nhấn mạnh sự tập trung của họ vào một mã độc khác được gọi là PEACHPIT, một thành phần gian lận quảng cáo của Badbox. PEACHPIT có khả năng tạo ra lưu lượng web giả mạo, hiển thị quảng cáo ẩn và phân phối quảng cáo độc hại trên cả thiết bị và ứng dụng Android và iOS.
Mã độc gian lận quảng cáo PEACHPIT đã nhiễm 121.000 thiết bị Android và 159.000 thiết bị iOS . ( theo báo cáo kỹ thuật Human security)
Peachpit là một bộ sưu tập gồm 39 ứng dụng tập trung vào hệ điều hành Android, iOS và TV Box, mỗi ứng dụng đều chứa một kết nối mã hóa cứng với một nền tảng giả mạo phía cung cấp (SSP), từ đó chèn một đoạn mã JavaScript vào WebView của ứng dụng để thu thập thông tin về thiết bị đang chạy ứng dụng trước khi khởi chạy quảng cáo.
Vn-Z.vn team tổng hợp tham khảo Human security