Google vừa phối hợp cùng các tổ chức an ninh mạng gỡ bỏ 24 ứng dụng độc hại khỏi Google Play và chặn liên lạc giữa botnet BadBox với hơn 500.000 thiết bị Android bị nhiễm. Đây là đợt can thiệp mới nhất nhằm ngăn chặn mạng lưới malware này, vốn nhắm đến các thiết bị Android giá rẻ như TV box, máy tính bảng, smart TV và điện thoại thông minh.
BadBox lây nhiễm theo nhiều cách khác nhau, từ việc được cài đặt sẵn trên thiết bị ngay khi xuất xưởng đến xâm nhập qua các ứng dụng hoặc bản cập nhật firmware giả mạo. Khi đã chiếm quyền kiểm soát thiết bị, malware này có thể biến thiết bị thành proxy dân cư, tạo lượt xem quảng cáo giả mạo, điều hướng người dùng đến các trang web độc hại và sử dụng địa chỉ IP của họ để thực hiện các cuộc tấn công đánh cắp tài khoản.
Trước đây, giới chức Đức từng chặn đứng một phần hoạt động của BadBox, nhưng ngay sau đó, các nhà nghiên cứu từ BitSight phát hiện malware vẫn còn tồn tại trên ít nhất 192.000 thiết bị. Chỉ trong thời gian ngắn, botnet này tiếp tục phát triển mạnh mẽ, với hơn 1 triệu thiết bị bị nhiễm trên 222 quốc gia, tập trung chủ yếu ở Brazil, Mỹ, Mexico và Argentina.
Do quy mô bùng nổ, các chuyên gia đã đặt tên cho biến thể mới là BadBox 2.0, đánh dấu một giai đoạn hoạt động mới. Đặc biệt, tất cả các thiết bị bị nhiễm đều thuộc hệ sinh thái Android Open Source Project (AOSP), không phải Android TV OS hay các thiết bị được chứng nhận Play Protect, khiến việc kiểm soát trở nên khó khăn hơn.
Để bảo vệ an toàn, người dùng nên chọn các thiết bị có chứng nhận Play Protect, luôn bật tính năng bảo vệ của Google Play, đồng thời tránh mua các thiết bị Android không rõ nguồn gốc. Nếu thiết bị đã bị nhiễm malware và không có cách nào để làm sạch firmware, cách tốt nhất là thay thế hoặc ngắt kết nối Internet để giảm rủi ro bảo mật.
Một số mẫu thiết bị đã được xác nhận nhiễm BadBox bao gồm TV box như X96Q, X96mini, KM9PRO, các loại máy chiếu như Projector_T6P và nhiều thiết bị khác như Transpeed, GameBox, iSinbox, ADT-3.
