Trình duyệt Universe Browser đưa ra nhiều lời hứa hẹn lớn lao cho người dùng tiềm năng. Các quảng cáo trực tuyến của nó tuyên bố đây là “trình duyệt nhanh nhất”, người dùng sẽ “tránh được rò rỉ thông tin cá nhân” và phần mềm này sẽ giúp “bảo vệ bạn khỏi nguy hiểm”. Tuy nhiên, mọi thứ có lẽ không hoàn toàn như vậy.

Trình duyệt này, được liên kết với các trang web cờ bạc trực tuyến của Trung Quốc và được cho là đã được tải xuống hàng triệu lần, thực chất định tuyến tất cả lưu lượng truy cập Internet thông qua các máy chủ ở Trung Quốc và "cài đặt ngầm một số chương trình chạy âm thầm trong nền", theo những phát hiện mới từ công ty an ninh mạng Infoblox. Các nhà nghiên cứu cho biết các yếu tố "ẩn" bao gồm các tính năng tương tự như phần mềm độc hại - bao gồm "ghi lại thao tác bàn phím, kết nối lén lút" và thay đổi kết nối mạng của thiết bị.

Có lẽ điều quan trọng nhất là, các nhà nghiên cứu của Infoblox, những người đã hợp tác với Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm (UNODC) trong công việc này, đã tìm thấy mối liên hệ giữa hoạt động của trình duyệt và hệ sinh thái tội phạm mạng rộng lớn, trị giá hàng tỷ đô la ở Đông Nam Á , có liên quan đến rửa tiền, cờ bạc trực tuyến bất hợp pháp, buôn người và các hoạt động lừa đảo sử dụng lao động cưỡng bức . Bản thân trình duyệt, theo các nhà nghiên cứu, có liên kết trực tiếp với một mạng lưới xoay quanh công ty cờ bạc trực tuyến lớn BBIN, mà các nhà nghiên cứu đã đặt tên là nhóm tội phạm mạng Vault Viper.

Các nhà nghiên cứu cho biết việc phát hiện ra trình duyệt này—cùng với hành vi đáng ngờ và rủi ro của nó—cho thấy tội phạm trong khu vực đang ngày càng tinh vi hơn. “Các nhóm tội phạm này, đặc biệt là các băng đảng tội phạm có tổ chức của Trung Quốc, đang ngày càng đa dạng hóa và phát triển thành các hoạt động lừa đảo trên mạng, giết mổ lợn, mạo danh, lừa bịp, toàn bộ hệ sinh thái đó”, John Wojcik, một nhà nghiên cứu về mối đe dọa cấp cao tại Infoblox, người cũng từng tham gia dự án này khi còn là nhân viên của UNODC, cho biết.

“Họ sẽ tiếp tục đầu tư mạnh tay, tái đầu tư lợi nhuận, phát triển các năng lực mới,” Wojcik nói. “Mối đe dọa ngày càng trở nên nghiêm trọng và đáng lo ngại, và đây là một ví dụ cho thấy điều đó.”

Bên trong nắp ca-pô

Trình duyệt Universe Browser lần đầu tiên được phát hiện — và được nhắc đến bằng tên — bởi Infoblox và UNODC vào đầu năm nay khi họ bắt đầu phân tích các hệ thống kỹ thuật số xung quanh một hoạt động sòng bạc trực tuyến có trụ sở tại Campuchia, trước đó đã bị các cơ quan thực thi pháp luật đột kích . Infoblox, chuyên về quản lý và bảo mật hệ thống tên miền (DNS), đã phát hiện ra một dấu vân tay DNS độc đáo từ các hệ thống đó và liên kết nó với Vault Viper, giúp các nhà nghiên cứu có thể theo dõi và lập bản đồ các trang web và cơ sở hạ tầng liên kết với nhóm này.

Theo một báo cáo được chia sẻ với WIRED, các nhà nghiên cứu của Infoblox cho biết hàng chục nghìn tên miền web, cùng với nhiều cơ sở hạ tầng điều khiển và kiểm soát cũng như các công ty đã đăng ký, đều có liên quan đến hoạt động của Vault Viper. Họ cũng cho biết đã kiểm tra hàng trăm trang tài liệu doanh nghiệp, hồ sơ pháp lý và hồ sơ tòa án có liên kết đến BBIN hoặc các công ty con khác. Hết lần này đến lần khác, họ đều bắt gặp Trình duyệt Vũ trụ (Universe Browser) trên mạng.

“Chúng tôi chưa thấy trình duyệt Universe Browser được quảng cáo bên ngoài các tên miền do Vault Viper kiểm soát,” Maël Le Touz, một nhà nghiên cứu về mối đe dọa tại Infoblox, cho biết. Báo cáo của Infoblox nói rằng trình duyệt này được thiết kế “đặc biệt” để giúp người dùng ở châu Á—nơi cờ bạc trực tuyến phần lớn là bất hợp pháp—vượt qua các hạn chế. “Mỗi trang web sòng bạc mà họ điều hành dường như đều chứa một liên kết và quảng cáo đến trình duyệt này,” Le Touz nói.

Trình duyệt Universe Browser chủ yếu được cung cấp để tải xuống trực tiếp từ các trang web sòng bạc này—thường được liên kết ở cuối trang web, bên cạnh logo của BBIN. Có các phiên bản dành cho máy tính để bàn chạy hệ điều hành Windows, cũng như phiên bản ứng dụng trên App Store của Apple. Và mặc dù không có trên Google Play Store, nhưng vẫn có các tệp APK dành cho Android cho phép cài đặt ứng dụng trực tiếp trên điện thoại Android. Các nhà nghiên cứu cho biết nhiều phần của Universe Browser và mã nguồn của các ứng dụng của nó đều tham chiếu đến BBIN, và các chi tiết kỹ thuật khác cũng đề cập đến công ty này.

Các nhà nghiên cứu đã phân tích ngược phiên bản Windows của trình duyệt này. Họ cho biết, mặc dù chưa thể "xác minh ý định độc hại", nhưng các yếu tố của trình duyệt mà họ phát hiện ra bao gồm nhiều tính năng tương tự như phần mềm độc hại và cố gắng né tránh sự phát hiện của các công cụ chống virus. Khi trình duyệt được khởi chạy, nó "ngay lập tức" kiểm tra vị trí, ngôn ngữ của người dùng và xem nó có đang chạy trong máy ảo hay không. Ứng dụng này cũng cài đặt hai tiện ích mở rộng trình duyệt: một trong số đó cho phép tải ảnh chụp màn hình lên các tên miền được liên kết với trình duyệt.

Mặc dù cờ bạc trực tuyến ở Trung Quốc phần lớn là bất hợp pháp , quốc gia này cũng thực hiện một số hoạt động kiểm duyệt trực tuyến nghiêm ngặt nhất thế giới và đã có hành động chống lại các đường dây cờ bạc bất hợp pháp . Các nhà nghiên cứu cho biết, mặc dù trình duyệt này thường được sử dụng bởi những người cố gắng tham gia vào hoạt động cờ bạc bất hợp pháp, nhưng nó cũng đặt dữ liệu của họ vào nguy cơ. Báo cáo của Infoblox cho biết: “Trong tay một kẻ xấu – ví dụ như một băng đảng xã hội đen – trình duyệt này sẽ là công cụ hoàn hảo để xác định những người chơi giàu có và truy cập vào máy tính của họ”.

Ngoài việc kết nối với Trung Quốc, chạy phần mềm ghi lại thao tác bàn phím và các chương trình khác chạy ngầm, báo cáo của Infoblox cũng cho biết nhiều chức năng đã bị vô hiệu hóa. “Ví dụ, chức năng nhấp chuột phải, truy cập cài đặt và công cụ dành cho nhà phát triển đều đã bị xóa, trong khi bản thân trình duyệt được chạy với một số cờ vô hiệu hóa các tính năng bảo mật chính bao gồm cả cơ chế hộp cát và việc loại bỏ các giao thức SSL cũ, làm tăng đáng kể rủi ro so với các trình duyệt thông thường,” báo cáo của công ty cho biết. (SSL, còn được gọi là Secure Sockets Layer, là một loại mã hóa web lâu đời bảo vệ một số hoạt động truyền dữ liệu.)

Hiện chưa rõ liệu những hành vi đáng ngờ tương tự có xuất hiện trên các phiên bản iOS và Android của ứng dụng hay không. Một phát ngôn viên của Google cho biết công ty đang điều tra ứng dụng này và xác nhận rằng nó không có sẵn trên cửa hàng Google Play. Apple không phản hồi yêu cầu bình luận về ứng dụng này.

Nối các chấm lại với nhau

Cơ sở hạ tầng web xung quanh Trình duyệt Universe đã dẫn các nhà nghiên cứu trở lại với BBIN, một công ty đã tồn tại từ năm 1999. Mặc dù ban đầu được thành lập tại Đài Loan, công ty này hiện có một cơ sở lớn ở Philippines.

BBIN , còn được biết đến với tên gọi Tập đoàn Baoying và có nhiều công ty con, tự mô tả mình là nhà cung cấp phần mềm iGaming “hàng đầu” ở châu Á. Một báo cáo của UNODC từ tháng 4, liên kết BBIN với Universe Browser nhưng không chính thức nêu tên công ty là Vault Viper, cho biết công ty này điều hành một số khách sạn và sòng bạc ở Đông Nam Á cũng như cung cấp “một trong những nền tảng iGaming lớn nhất và thành công nhất” trong khu vực. Trong thập kỷ qua, BBIN đã tài trợ hoặc hợp tác với nhiều đội bóng đá lớn của châu Âu, chẳng hạn như Atlético de Madrid của Tây Ban Nha , Borussia Dortmund của Đức và AFC Ajax của Hà Lan .

Trong những năm gần đây, nhiều câu lạc bộ bóng đá ở giải Ngoại hạng Anh đã phải đối mặt với sự giám sát chặt chẽ về việc tài trợ từ các công ty cá cược châu Á—bao gồm cả TGP Europe , thuộc sở hữu của Alvin Chau, chủ tịch kiêm người sáng lập Tập đoàn SunCity, người đã bị kết án 18 năm tù vào tháng 1 năm 2023 sau khi bị kết tội điều hành các hoạt động cá cược bất hợp pháp. TGP Europe đã rời khỏi Anh vào đầu năm nay sau khi bị cơ quan quản lý cá cược của nước này phạt tiền . Atlético Madrid, Borussia Dortmund và AFC Ajax không trả lời yêu cầu bình luận từ WIRED.

Ngành công nghiệp iGaming phát triển phần mềm cá cược trực tuyến, chẳng hạn như poker ảo hoặc các trò chơi sòng bạc trực tuyến khác, có thể dễ dàng chơi trên web hoặc điện thoại. “BBIN Baoying chính thức là một nhà phát triển trò chơi sòng bạc trực tuyến hoặc nền tảng sòng bạc trực tuyến 'nhãn trắng', có nghĩa là họ thuê ngoài công nghệ cá cược trực tuyến của mình cho các trang web khác,” Lindsey Kennedy, giám đốc nghiên cứu tại Dự án EyeWitness , chuyên điều tra tham nhũng và tội phạm có tổ chức, cho biết. “Họ chỉ cung cấp các ngôn ngữ tiếng Hàn, tiếng Nhật và tiếng Trung, đây không phải là một dấu hiệu tốt vì cá cược trực tuyến bị cấm hoặc bị hạn chế nghiêm ngặt ở cả ba quốc gia này.”

“Baoying và BBIN là những gì tôi gọi là một tập đoàn quốc tế đa tỷ đô la hoạt động trong vùng xám, có mối liên hệ mật thiết với tội phạm, hỗ trợ và cung cấp dịch vụ cho các doanh nghiệp cờ bạc trực tuyến, các vụ lừa đảo và các đối tượng tội phạm mạng”, Jeremy Douglas, chánh văn phòng của UNODC và cựu đại diện khu vực Đông Nam Á của tổ chức này, cáo buộc. “Ngoài việc Alvin Chau ước tính sở hữu 2/3 cổ phần của SunCity – được cho là kẻ rửa tiền lớn nhất trong lịch sử châu Á – các đối tác thực thi pháp luật đã ghi nhận các mối liên hệ trực tiếp với các nhóm xã hội đen như Liên Minh Tre, Tứ Hải, Thiên Đạo”, Douglas nói về BBIN. (Khi Chau bị kết án vào tháng 1 năm 2023, các tài liệu tòa án chỉ ra rằng ông ta bị cáo buộc sở hữu 66,67% cổ phần của Baoying ).

BBIN đã không phản hồi nhiều yêu cầu bình luận từ WIRED. Địa chỉ email liên hệ chính mà công ty liệt kê trên trang web của họ bị lỗi, trong khi các câu hỏi gửi đến một địa chỉ email khác và các biểu mẫu liên hệ trực tuyến, cùng với những nỗ lực liên hệ với hai người được cho là nhân viên trên LinkedIn đều không được trả lời cho đến thời điểm bài báo được xuất bản. Một tài khoản Telegram của công ty đã hướng WIRED đến một trong những biểu mẫu liên hệ nhưng biểu mẫu đó không cung cấp bất kỳ câu trả lời nào.

Ủy ban Chống Tội phạm Có Tổ chức của Tổng thống Philippines (PAOCC), cơ quan chuyên xử lý tội phạm có tổ chức và quốc tế, đã không trả lời yêu cầu bình luận từ WIRED về BBIN.

Trong thập kỷ qua, tội phạm mạng ở Đông Nam Á đã gia tăng mạnh mẽ, một phần do cờ bạc trực tuyến bất hợp pháp và một loạt các đường dây lừa đảo được thiết lập trên khắp Myanmar, Lào và Campuchia. Hàng trăm nghìn người từ hơn 60 quốc gia đã bị lừa làm việc trong các đường dây này, nơi chúng hoạt động lừa đảo ngày đêm, đánh cắp hàng tỷ đô la từ người dân trên toàn thế giới .

“Các khu nhà và khu phức hợp lừa đảo trên khắp khu vực thường là nơi diễn ra cả hoạt động đánh bạc trực tuyến và lừa đảo trực tuyến, và phương thức được sử dụng để dụ dỗ các cá nhân mở tài khoản đánh bạc trực tuyến tương tự như phương thức liên quan đến các vụ lừa đảo giết mổ lợn ,” Jason Tower, một chuyên gia cấp cao tại Sáng kiến ​​Toàn cầu Chống Tội phạm Có Tổ chức Xuyên quốc gia, cho biết.