Trình duyệt này tuyên bố 'bảo vệ quyền riêng tư hoàn hảo', nhưng lại hoạt động như malware

Trình duyệt Vũ trụ đưa ra một số hứa hẹn lớn cho người dùng tiềm năng của nó. Các quảng cáo trực tuyến của nó khẳng định nó có trình duyệt “nhanh nhất,” rằng những người sử dụng nó sẽ “tránh rò rỉ quyền riêng tư” và phần mềm sẽ giúp “giúp bạn tránh xa nguy hiểm.” Tuy nhiên, mọi thứ có thể không như vẻ ngoài của nó.

Trình duyệt, được liên kết với các trang web cờ bạc trực tuyến của Trung Quốc và được cho là đã được tải xuống hàng triệu lần, thực sự định tuyến tất cả lưu lượng truy cập Internet qua các máy chủ ở Trung Quốc và “bí mật cài đặt một số chương trình chạy âm thầm trong nền,” theo phát hiện mới từ công ty bảo mật mạng Infoblox. Các nhà nghiên cứu cho biết các phần tử “hidden” bao gồm các tính năng tương tự như malware—, bao gồm ghi nhật ký khóa “, kết nối lén lút,” và thay đổi kết nối mạng của thiết bị.

Có lẽ đáng kể nhất, các nhà nghiên cứu của Infoblox đã cộng tác với Văn phòng Liên hợp quốc về Ma túy và Tội phạm (UNODC) trong công việc, đã tìm thấy các liên kết giữa hoạt động của trình duyệt và sự mở rộng của Đông Nam Á, hệ sinh thái tội phạm mạng trị giá hàng tỷ đô la, có liên quan đến rửa tiền, cờ bạc trực tuyến bất hợp pháp, buôn người và các hoạt động lừa đảo sử dụng lao động cưỡng bức. Bản thân trình duyệt, các nhà nghiên cứu cho biết, được liên kết trực tiếp với một mạng lưới xung quanh công ty cờ bạc trực tuyến lớn BBIN, mà các nhà nghiên cứu đã dán nhãn cho một nhóm đe dọa mà họ gọi là Vault Viper.

Các nhà nghiên cứu cho biết việc phát hiện ra browser—plus với hành vi đáng ngờ và rủi ro của nó cho thấy tội phạm trong khu vực ngày càng trở nên tinh vi. “Các nhóm tội phạm này, đặc biệt là các tập đoàn tội phạm có tổ chức của Trung Quốc, đang ngày càng đa dạng hóa và phát triển thành các hoạt động lừa đảo, giết mổ lợn, mạo danh, lừa đảo trên mạng, toàn bộ hệ sinh thái đó, John Wojcik, nhà nghiên cứu mối đe dọa cấp cao tại Infoblox, người cũng làm việc trong dự án, cho biết. khi ông còn là nhân viên tại UNODC.

“Họ sẽ tiếp tục tăng gấp đôi, tái đầu tư lợi nhuận, phát triển các khả năng mới,” Wojcik nói. “Mối đe dọa cuối cùng đang trở nên nghiêm trọng và đáng lo ngại hơn, và đây là một ví dụ về nơi chúng ta thấy điều đó.”

Dưới mui xe

Trình duyệt Vũ trụ lần đầu tiên được phát hiện—and được nhắc đến bằng tên—của Infoblox và UNODC vào đầu năm nay khi họ bắt đầu giải nén các hệ thống kỹ thuật số xung quanh hoạt động sòng bạc trực tuyến dựa trên ở Campuchia, đó là trước đây bị đột kích bởi cơ quan thực thi pháp luật quan chức. Infoblox, chuyên về quản lý và bảo mật hệ thống tên miền (DNS), đã phát hiện dấu vân tay DNS duy nhất từ các hệ thống mà họ liên kết với Vault Viper, giúp các nhà nghiên cứu có thể theo dõi và lập bản đồ các trang web cũng như cơ sở hạ tầng được liên kết với nhóm.

Hàng chục ngàn tên miền web, cộng với cơ sở hạ tầng chỉ huy và kiểm soát khác nhau và các công ty đã đăng ký, được liên kết với hoạt động của Vault Viper, các nhà nghiên cứu của Infoblox cho biết trong một báo cáo được chia sẻ với WIRED. Họ cũng cho biết họ đã kiểm tra hàng trăm trang tài liệu công ty, hồ sơ pháp lý và hồ sơ tòa án có liên kết đến BBIN hoặc các công ty con khác. Hết lần này đến lần khác, họ tình cờ gặp Trình duyệt Vũ trụ trực tuyến.

“Chúng tôi chưa thấy Trình duyệt Vũ trụ được quảng cáo bên ngoài các miền mà Vault Viper kiểm soát,” Maël Le Touz, nhà nghiên cứu mối đe dọa tại Infoblox cho biết. Báo cáo của Infoblox cho biết trình duyệt này “được thiết kế đặc biệt để giúp đỡ mọi người ở Asia”, nơi cờ bạc trực tuyến phần lớn là bất hợp pháp. “Mỗi trang web sòng bạc mà họ điều hành dường như đều chứa một liên kết và quảng cáo tới nó,” Le Touz nói.

Bản thân Trình duyệt Vũ trụ chủ yếu được cung cấp để tải xuống trực tiếp từ các trang web sòng bạc này.—thường được liên kết ở cuối trang web, bên cạnh logo của BBIN. Có các phiên bản dành cho máy tính để bàn có sẵn cho Windows, cũng như một phiên bản ứng dụng trong App Store của Apple. Và trong khi nó không có trong Cửa hàng Play của Google, có các tệp APK Android cho phép ứng dụng được cài đặt trực tiếp trên điện thoại Android. Các nhà nghiên cứu cho biết nhiều phần của Trình duyệt Vũ trụ và mã cho các ứng dụng của nó tham chiếu BBIN và các chi tiết kỹ thuật khác cũng tham chiếu đến công ty.

Các nhà nghiên cứu đã thiết kế ngược phiên bản Windows của trình duyệt. Họ nói rằng mặc dù họ không thể “xác minh ý định độc hại, nhưng các thành phần ” của trình duyệt mà họ phát hiện bao gồm nhiều tính năng tương tự như phần mềm độc hại được tìm thấy và cố gắng trốn tránh sự phát hiện của các công cụ chống vi-rút. Khi trình duyệt được khởi chạy, nó sẽ ngay lập tức kiểm tra vị trí, ngôn ngữ của người dùng và liệu nó có đang chạy trong máy ảo hay không. Ng dụng cũng cài đặt hai tiện ích mở rộng trình duyệt: một trong số đó có thể cho phép tải ảnh chụp màn hình lên các tên miền được liên kết với trình duyệt.

Trong khi cờ bạc trực tuyến ở Trung Quốc phần lớn bất hợp pháp, đất nước cũng điều hành một số của thế giới hoạt động kiểm duyệt trực tuyến nghiêm ngặt nhất và đã có hành động chống lại nhẫn đánh bạc bất hợp pháp. Các nhà nghiên cứu cho biết, mặc dù trình duyệt này thường được sử dụng bởi những người cố gắng tham gia cờ bạc bất hợp pháp nhưng nó cũng khiến dữ liệu của họ gặp rủi ro. “Trong tay của một diễn viên độc hại—a Triad chẳng hạn—trình duyệt này sẽ đóng vai trò là công cụ hoàn hảo để xác định những người chơi giàu có và có quyền truy cập vào máy của họ,” báo cáo của Infoblox cho biết.

Ngoài việc kết nối với Trung Quốc, chạy ghi nhật ký khóa và các chương trình khác chạy trong nền, báo cáo của Infoblox cũng cho biết nhiều chức năng đã bị vô hiệu hóa. “Ví dụ: nhấp chuột phải, quyền truy cập cài đặt và các công cụ dành cho nhà phát triển đều đã bị xóa, trong khi bản thân trình duyệt được chạy với một số cờ vô hiệu hóa các tính năng bảo mật chính bao gồm hộp cát và xóa các giao thức SSL cũ, làm tăng đáng kể rủi ro khi so sánh với các giao thức SSL cũ. các trình duyệt chính thống điển hình, Báo cáo của công ty cho biết. (SSL, còn được gọi là Lớp cổng bảo mật, là a loại historic của mã hóa web đã bảo vệ một số truyền dữ liệu.)

Không rõ liệu những hành vi đáng ngờ tương tự này có xuất hiện trong phiên bản i OS và Android của ứng dụng hay không.Người phát ngôn của Google cho biết công ty đang xem xét ứng dụng và xác nhận nó không có sẵn thông qua cửa hàng Google Play của mình. Apple đã không trả lời yêu cầu bình luận về ứng dụng.

Kết nối các dấu chấm

Cơ sở hạ tầng web xung quanh Trình duyệt Vũ trụ đã đưa các nhà nghiên cứu quay trở lại BBIN, một công ty đã tồn tại từ năm 1999. Mặc dù ban đầu được thành lập tại Đài Loan nhưng công ty hiện có trụ sở lớn ở Philippines.

BBIN, cũng có tên là Tập đoàn Baoying và có nhiều khoản trợ cấp, tự mô tả mình là nhà cung cấp “leading” iGaming phần mềm ở Châu Á. MỘT Báo cáo của UNODC từ tháng 4, công ty liên kết BBIN với Universe Browser nhưng không chính thức đặt tên công ty là Vault Viper, cho biết công ty điều hành một số khách sạn và sòng bạc ở Đông Nam Á cũng như cung cấp “một trong những nền tảng iGaming ” lớn nhất và thành công nhất trong khu vực. Trong thập kỷ qua, BBIN đã tài trợ hoặc hợp tác với nhiều đội bóng đá lớn của châu Âu, chẳng hạn như Tây Ban Nha Atlético de Madrid, của Đức Borussia Dortmund, và đội Hà Lan AFC Ajax.

Trong những năm gần đây, nhiều câu lạc bộ bóng đá ở Premier League của Anh có phải đối mặt với sự giám sát chặt chẽ về tài trợ bởi các công ty cờ bạc châu Á—bao gồm cả bởi TGP Châu Âu, thuộc sở hữu của Alvin Chau, chủ tịch và người sáng lập SunCity Group, người đã bị kết án vào tháng 1 năm 2023 18 năm tù sau khi bị kết tội điều hành các hoạt động cờ bạc bất hợp pháp. TGP Châu Âu đã rời Anh vào đầu năm nay sau khi bị phạt bởi cơ quan quản lý cờ bạc của đất nước. Atlético Madrid, Borussia Dortmund, và AFC Ajax đã không trả lời yêu cầu bình luận của WIRED.

Ngành công nghiệp iGaming phát triển phần mềm cờ bạc trực tuyến, chẳng hạn như poker ảo hoặc các trò chơi sòng bạc trực tuyến khác, có thể dễ dàng chơi trên web hoặc trên điện thoại. “BBIN Baoying chính thức là nhà phát triển trò chơi sòng bạc trực tuyến hoặc nền tảng sòng bạc trực tuyến ‘white label’, nghĩa là họ thuê ngoài công nghệ cờ bạc trực tuyến của mình cho các trang web khác, Lindsey Kennedy, giám đốc nghiên cứu tại Dự án EyeWitness, điều tra tham nhũng và tội phạm có tổ chức. “Các ngôn ngữ duy nhất mà nó cung cấp là tiếng Hàn, tiếng Nhật và tiếng Trung, đó không phải là dấu hiệu tuyệt vời vì cờ bạc trực tuyến bị cấm hoặc bị hạn chế nghiêm ngặt ở cả ba quốc gia.”

“Baoying và BBIN là cái mà tôi gọi là một tập đoàn quốc tế khu vực xám trị giá hàng tỷ đô la với các mối liên hệ tội phạm sâu sắc, hỗ trợ và cung cấp dịch vụ cho các doanh nghiệp cờ bạc trực tuyến, lừa đảo và các tác nhân tội phạm mạng, ” Jeremy Douglas, chánh văn phòng UNODC và tổ chức này cáo buộc. cựu đại diện khu vực Đông Nam Á. “Ngoài những gì được ước tính là Alvin Chau sở hữu 2/3 SunCity—, được cho là kẻ rửa tiền lớn nhất trong lịch sử của các đối tác thực thi pháp luật Asia—law đã ghi nhận mối liên hệ trực tiếp với các nhóm Triad bao gồm Bamboo Union, Four Seas, Tian Dao,” Douglas nói về BBIN. (Khi Châu bị kết án vào tháng 1 năm 2023, tài liệu tòa án chỉ ra rằng anh ta bị cáo buộc sở hữu một chiếc a 66,67% thị phần của Baoying).

BBIN đã không trả lời nhiều yêu cầu bình luận từ WIRED. Địa chỉ email liên hệ chính của công ty mà nó liệt kê trên trang web của mình đã bị trả lại, trong khi các câu hỏi được gửi đến một địa chỉ email khác và các biểu mẫu liên hệ trực tuyến, cộng với nỗ lực liên hệ với hai nhân viên bị cáo buộc trên LinkedIn đã không được trả lời vào thời điểm xuất bản. Một tài khoản Telegram của công ty đã trỏ WIRED đến một trong các biểu mẫu liên hệ không cung cấp bất kỳ câu trả lời nào.

Ủy ban chống tội phạm có tổ chức của Tổng thống (PAOCC) ở Philippines, cơ quan giải quyết các tội phạm có tổ chức và quốc tế, đã không trả lời yêu cầu bình luận từ WIRED về BBIN.

Trong thập kỷ qua, tội phạm trực tuyến ở Đông Nam Á đã gia tăng ồ ạt, một phần do cờ bạc trực tuyến bất hợp pháp và cũng là một loạt của hợp chất lừa đảođiều đó đã được thiết lập trên khắp Myanmar, Lào và Campuchia. Hàng trăm ngàn người từ hơn 60 quốc gia đã bị lừa làm việc trong các hợp chất này, nơi họ hoạt động lừa đảo cả ngày lẫn đêm, ăn cắp hàng tỷ đô la từ mọi người trên khắp thế giới".

các công viên và khu phức hợp “Scam trên toàn khu vực thường tổ chức cả hoạt động cờ bạc trực tuyến và lừa đảo trực tuyến cũng như phương pháp được sử dụng để thu hút các cá nhân mở tài khoản cờ bạc trực tuyến tương tự có liên quan lừa đảo giết mổ lợn,” Jason Tower, chuyên gia cấp cao của Sáng kiến toàn cầu chống tội phạm có tổ chức xuyên quốc gia, cho biết.