FBI mới đây đã phát cảnh báo về chiến dịch mã độc BADBOX 2.0 – một biến thể mới của phần mềm độc hại BADBOX từng xuất hiện từ năm 2023. Theo đó, hơn 1 triệu thiết bị tiêu dùng đã bị nhiễm, chủ yếu là các thiết bị Android giá rẻ như TV thông minh, đầu phát trực tuyến, máy chiếu và máy tính bảng, thường được sản xuất tại Trung Quốc và phân phối toàn cầu.
BADBOX 2.0 có thể được cài sẵn trong thiết bị ngay từ khâu sản xuất, hoặc lây nhiễm trong quá trình cập nhật firmware và cài đặt ứng dụng độc hại. Người dùng rất khó phát hiện vì nhiều thiết bị bị nhiễm là loại không có chứng nhận Play Protect của Google, giao diện gần giống Android TV nhưng thực chất là các bản tùy biến không an toàn. Khi kết nối vào mạng gia đình, các thiết bị này tự động liên lạc với máy chủ điều khiển (C2), âm thầm nhận lệnh và tham gia vào mạng botnet BADBOX 2.0.
Một khi đã bị kiểm soát, thiết bị sẽ bị sử dụng như proxy cư dân, che giấu hoạt động của tội phạm mạng bằng cách định tuyến lưu lượng truy cập qua IP của người dùng. Ngoài ra, mã độc còn có thể âm thầm tạo ra tương tác giả mạo với quảng cáo để trục lợi, hoặc tham gia vào các cuộc tấn công chiếm đoạt tài khoản bằng cách dùng địa chỉ IP nạn nhân để thử nghiệm các thông tin đăng nhập bị rò rỉ.
Dù từng bị gián đoạn ở Đức vào năm 2024, BADBOX đã nhanh chóng quay trở lại với phiên bản 2.0 mạnh mẽ và tinh vi hơn. HUMAN – một nhóm chuyên nghiên cứu về mối đe dọa – cho biết botnet này đã ghi nhận lưu lượng đáng ngờ từ 222 quốc gia và vùng lãnh thổ. Các quốc gia có số thiết bị nhiễm nhiều nhất bao gồm Brazil, Mỹ, Mexico và Argentina.
FBI cảnh báo rằng người dùng nên đặc biệt cảnh giác với các thiết bị không rõ nguồn gốc, có kho ứng dụng lạ, hoặc quảng cáo khả năng “mở khóa”, “xem miễn phí”. Việc Play Protect bị tắt hoặc thiết bị kết nối mạng có lưu lượng bất thường cũng là dấu hiệu nghi vấn. Nếu phát hiện thiết bị khả nghi, người dùng nên ngắt kết nối mạng, kiểm tra hệ thống và tránh sử dụng các ứng dụng không chính thống để hạn chế nguy cơ lây nhiễm mã độc.
