Các loại thiết bị bị ảnh hưởng bao gồm khung ảnh kỹ thuật số, máy nghe nhạc, máy phát trực tuyến và có khả năng là cả điện thoại thông minh và máy tính bảng.

Được biết, BadBox là phần mềm độc hại Android được cài đặt sẵn trong firmware của thiết bị được kết nối Internet, có khả năng đánh cắp dữ liệu, cập nhật phần mềm độc hại bổ sung hoặc cho phép kẻ tấn công truy cập từ xa vào mạng nơi thiết bị đang hoạt động.

Khi thiết bị bị nhiễm lần đầu tiên được kết nối với Internet, phần mềm độc hại sẽ cố gắng liên hệ với máy chủ điều khiển và ra lệnh (C2) từ xa do tác nhân đe dọa điều hành. Máy chủ C2 này sẽ cung cấp những dịch vụ độc hại nào nên chạy trên thiết bị và cũng sẽ nhận dữ liệu bị đánh cắp từ nạn nhân.

BSI cho biết phần mềm độc hại có thể đánh cắp mã xác thực hai yếu tố, cài đặt thêm phần mềm độc hại, tạo tài khoản email và tin nhắn để phát tán tin tức giả mạo. BadBox cũng có thể gian lận quảng cáo bằng cách tải và nhấp vào quảng cáo ở chế độ nền, tạo ra doanh thu cho các đường dây lừa đảo.

Cuối cùng, phần mềm độc hại có thể được thiết lập để hoạt động như một proxy, cho phép những người khác sử dụng băng thông Internet và phần cứng của thiết bị để định tuyến lưu lượng truy cập của riêng họ. Chiến thuật này được gọi là “residential proxying”, thường đề cập đến các hoạt động bất hợp pháp liên quan đến địa chỉ IP của người dùng.

BSI cho biết họ đã chặn liên lạc giữa các thiết bị phần mềm độc hại BadBox và cơ sở hạ tầng C2 của chúng bằng cách ẩn các truy vấn DNS để các kết nối này request đến các máy chủ do lực lượng cảnh sát kiểm soát thay vì máy chủ điều khiển của kẻ tấn công.

Cơ chế DNS Sinkhole ngăn chặn phần mềm độc hại gửi dữ liệu bị đánh cắp cho kẻ tấn công và nhận các lệnh mới để thực thi trên thiết bị của nạn nhân, từ đó ngăn chặn hiệu quả phần mềm độc hại hoạt động.

“BSI hiện đang chuyển hướng truy vấn của các thiết bị nạn nhân đến máy chủ C2 của kẻ tấn công như một phần của biện pháp chống lại mối đe dọa này theo Mục 7c của Đạo luật BSI (BSIG)”, thông báo của BSI cho biết.

Nhà cung cấp dịch vụ Internet sẽ thông báo cho chủ sở hữu thiết bị bị ảnh hưởng bởi hoạt động thu hẹp này dựa trên địa chỉ IP của họ. BSI chia sẻ rằng bất kỳ ai nhận được thông báo nên ngắt kết nối thiết bị ngay lập tức khỏi mạng hoặc ngừng sử dụng. Thật không may, vì phần mềm độc hại được cài đặt sẵn firmware, do đó không nên tin tưởng vào firmware khác từ nhà sản xuất thiết bị.

Cơ quan này lưu ý rằng tất cả các thiết bị bị ảnh hưởng đều chạy phiên bản Android và firmware cũ, do đó, ngay cả khi được bảo vệ khỏi BadBox, chúng vẫn dễ bị phần mềm độc hại botnet khác tấn công miễn là chúng vẫn tiếp xúc trực tuyến.

Hơn nữa, thông báo đề cập rằng, do sự khác biệt lớn giữa các nhà sản xuất IoT Android và các phiên bản thiết bị, rất có thể còn nhiều thiết bị khác bị nhiễm BadBox hoặc phần mềm độc hại tương tự ở quốc gia này, mà BSI không thể xác định được.

Điều này có thể bao gồm điện thoại thông minh và máy tính bảng, loa thông minh, camera an ninh, TV thông minh và nhiều thiết bị kết nối Internet khác. Các dấu hiệu cho thấy thiết bị của bạn có thể bị lây nhiễm botnet như hiệu suất giảm đột ngột, thay đổi cài đặt thời gian, hoạt động bất thường và kết nối với máy chủ bên ngoài không xác định.

Để giảm thiểu rủi ro từ các thiết bị IoT Android lỗi thời, người dùng hãy cài đặt firmware image từ nhà cung cấp đáng tin cậy, tắt các tính năng kết nối không cần thiết và giữ thiết bị cách ly khỏi các vùng mạng quan trọng. Nhìn chung, người dùng chỉ nên mua thiết bị thông minh từ những nhà sản xuất có uy tín và tìm kiếm những sản phẩm cung cấp hỗ trợ bảo mật lâu dài.