Google vừa đệ đơn kiện lên tòa án liên bang New York chống lại 25 cá nhân và tổ chức không rõ danh tính tại Trung Quốc. Nguyên nhân là do họ bị cáo buộc điều hành mạng botnet BADBOX 2.0 và cơ sở hạ tầng proxy dân cư.
Theo Google, mạng botnet BADBOX 2.0 đã xâm nhập hơn 10 triệu thiết bị không được chứng nhận chạy hệ điều hành Android nguồn mở (AOSP), vốn thiếu các biện pháp bảo vệ an ninh của Google. Những kẻ tấn công đã cài đặt sẵn phần mềm độc hại vào các thiết bị này và khai thác chúng để thực hiện các hành vi gian lận quảng cáo quy mô lớn và các tội phạm kỹ thuật số khác.
Ngay lập tức, Google đã cập nhật Google Play Protect, một cơ chế bảo vệ phần mềm độc hại và phần mềm không mong muốn tích hợp trong Android, để tự động ngăn chặn các ứng dụng liên quan đến BADBOX.
Vụ việc này xảy ra chỉ hơn một tháng sau khi Cục Điều tra Liên bang Mỹ (FBI) đưa ra cảnh báo về mạng botnet BADBOX 2.0.
BADBOX, lần đầu tiên được phát hiện vào cuối năm 2022, lây lan qua các thiết bị Internet of Things (IoT) như thiết bị phát trực tuyến TV, máy chiếu kỹ thuật số, hệ thống thông tin giải trí trên xe hơi, khung ảnh kỹ thuật số và các sản phẩm khác, phần lớn được sản xuất tại Trung Quốc.
FBI cảnh báo rằng tội phạm mạng có được quyền truy cập trái phép vào mạng gia đình bằng cách cấu hình sản phẩm với phần mềm độc hại trước khi người dùng mua hoặc lây nhiễm thiết bị khi nó tải xuống các ứng dụng cần thiết có chứa cửa hậu, thường là trong quá trình thiết lập.
Trong một phân tích được công bố vào đầu tháng 3, HUMAN Security mô tả BADBOX là mạng botnet lớn nhất gồm các thiết bị TV kết nối (CTV) bị nhiễm bệnh từng được phát hiện. Phần lớn các vụ lây nhiễm BADBOX được báo cáo ở Brazil, Hoa Kỳ, Mexico và Argentina.
Ban đầu, phần mềm độc hại lây lan qua các cuộc tấn công vào chuỗi cung ứng, cài cắm cửa hậu vào các thiết bị IoT trước khi chúng được bán ra. Tuy nhiên, các chuỗi tấn công đã thay đổi để cho phép lây nhiễm qua các ứng dụng độc hại được tải xuống từ các chợ ứng dụng không chính thức.
Ước tính có hơn 10 triệu thiết bị đã bị cuốn vào mạng botnet này, cho phép những kẻ điều hành bán quyền truy cập vào các mạng gia đình bị xâm nhập để tạo điều kiện cho các hoạt động bất hợp pháp khác của những kẻ tấn công khác.
Trong đơn khiếu nại được đệ trình vào ngày 11 tháng 7 năm 2025, Google cáo buộc rằng BADBOX bao gồm nhiều nhóm, mỗi nhóm chịu trách nhiệm về các khía cạnh khác nhau của cơ sở hạ tầng tội phạm:
- Nhóm Cơ sở hạ tầng: Thiết lập và quản lý cơ sở hạ tầng chỉ huy và kiểm soát (C2) chính của BADBOX 2.0.
- Nhóm Phần mềm độc hại Cửa hậu: Phát triển và cài đặt sẵn phần mềm độc hại cửa hậu trong các bot.
- Nhóm Song sinh Ác quỷ: Đứng sau một chiến dịch gian lận quảng cáo tạo ra các phiên bản “song sinh ác quỷ” của các ứng dụng hợp pháp có trên Google Play Store để phân phát quảng cáo và khởi chạy các trình duyệt web ẩn tải quảng cáo ẩn.
- Nhóm Trò chơi Quảng cáo: Sử dụng các “trò chơi” gian lận để tạo quảng cáo.
Google cũng cáo buộc những kẻ đứng sau BADBOX 2.0 tạo tài khoản nhà xuất bản trên Mạng quảng cáo của Google để cung cấp không gian quảng cáo trên ứng dụng hoặc trang web của họ, và được Google trả tiền cho việc này.
Google cho biết mục đích duy nhất của các ứng dụng và trang web của BADBOX là cung cấp không gian quảng cáo để bot BADBOX 2.0 tạo lưu lượng truy cập. Nhóm này sẽ triển khai bot BADBOX 2.0 để “xem” những quảng cáo đó, tạo ra vô số lượt hiển thị quảng cáo. Google trả tiền cho nhóm BADBOX 2.0 cho những lượt hiển thị đó.
Hơn nữa, Google chỉ ra rằng hoạt động bất hợp pháp này cho phép những kẻ tấn công thu lợi từ gian lận quảng cáo trên mạng của họ theo ba cách khác nhau: Sử dụng các ứng dụng có vẻ hợp pháp để bí mật tải quảng cáo ẩn thông qua chương trình “song sinh ác quỷ”, mở các trình duyệt web ẩn và tương tác với quảng cáo trên các trang web trò chơi do chúng tạo ra, và tận dụng các thiết bị bị nhiễm bệnh để thực hiện gian lận nhấp chuột.
Tòa án đã ban hành lệnh sơ bộ, yêu cầu nhóm BADBOX 2.0 ngay lập tức ngừng các hoạt động botnet và các chương trình tội phạm liên quan trên toàn cầu, đồng thời buộc các nhà cung cấp dịch vụ internet và cơ quan đăng ký tên miền của bên thứ ba tích cực hỗ trợ phá dỡ cơ sở hạ tầng của botnet, chẳng hạn như bằng cách chặn lưu lượng truy cập đến và đi từ các tên miền được chỉ định.
Trong một tuyên bố được chia sẻ với The Hacker News, Stu Solomon, Giám đốc điều hành của HUMAN Security, hoan nghênh hành động của Google chống lại những kẻ đứng sau BADBOX 2.0, nói rằng nỗ lực này thể hiện sức mạnh của việc hợp tác chống lại các mối đe dọa như vậy.
Solomon nói thêm: “Việc hạ bệ này đánh dấu một bước tiến quan trọng trong cuộc chiến đang diễn ra để bảo vệ internet khỏi các hoạt động gian lận tinh vi chiếm đoạt thiết bị, đánh cắp tiền và khai thác người tiêu dùng mà họ không hề hay biết”.
Giải thích thuật ngữ
- Botnet: Một mạng lưới các máy tính bị nhiễm phần mềm độc hại, cho phép kẻ tấn công điều khiển chúng từ xa để thực hiện các hoạt động độc hại.
- Proxy dân cư: Một loại proxy sử dụng địa chỉ IP của các thiết bị dân cư thực để che giấu nguồn gốc của lưu lượng truy cập internet, khiến cho việc theo dõi và chặn trở nên khó khăn hơn.
- Android Open Source Project (AOSP): Phiên bản mã nguồn mở của hệ điều hành Android, không bao gồm các dịch vụ và tính năng độc quyền của Google.
- Cửa hậu (Backdoor): Một phương pháp bí mật để vượt qua xác thực hoặc mã hóa thông thường trong một hệ thống máy tính.
- Internet of Things (IoT): Mạng lưới các thiết bị vật lý được nhúng với các cảm biến, phần mềm và các công nghệ khác, cho phép chúng kết nối và trao đổi dữ liệu với các thiết bị và hệ thống khác qua internet.
- Command and Control (C2): Cơ sở hạ tầng mà kẻ tấn công sử dụng để kiểm soát và chỉ đạo các bot trong mạng botnet.
- Gian lận nhấp chuột (Click Fraud): Một loại gian lận quảng cáo xảy ra khi các nhấp chuột vào quảng cáo trực tuyến được tạo ra một cách gian lận, thường là bởi bot hoặc người dùng trả tiền, nhằm tạo ra doanh thu sai lệch cho nhà xuất bản trang web hoặc kẻ gian lận.
