Universe Browser được cho là đã được tải xuống hàng triệu lần. Nhưng các nhà nghiên cứu nói rằng nó hoạt động như phần mềm độc hại và có liên kết với mạng lưới tội phạm mạng và cờ bạc bất hợp pháp đang bùng nổ ở châu Á.

Universe Browser đưa ra những lời hứa lớn với người dùng tiềm năng. Các quảng cáo trực tuyến của nó tuyên bố đây là "trình duyệt nhanh nhất", rằng những người sử dụng nó sẽ "tránh được rò rỉ quyền riêng tư" và phần mềm này sẽ giúp "giữ bạn an toàn khỏi nguy hiểm". Tuy nhiên, có thể mọi thứ không như vẻ ngoài.

Trình duyệt này, có liên kết với các trang web cờ bạc trực tuyến của Trung Quốc và được cho là đã được tải xuống hàng triệu lần, thực sự chuyển tất cả lưu lượng internet qua các máy chủ ở Trung Quốc và "bí mật cài đặt một số chương trình chạy âm thầm trong nền," theo những phát hiện mới từ công ty bảo mật mạng Infoblox. Các nhà nghiên cứu nói rằng các yếu tố "ẩn" bao gồm các tính năng tương tự như phần mềm độc hại - bao gồm "ghi lại phím bấm, kết nối bí mật," và thay đổi kết nối mạng của thiết bị.

Có lẽ quan trọng nhất, các nhà nghiên cứu Infoblox đã hợp tác với Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm (UNODC) trong công việc này, đã tìm thấy mối liên kết giữa hoạt động của trình duyệt và hệ sinh thái tội phạm mạng trải rộng, trị giá hàng tỷ đô la của Đông Nam Á, có kết nối với rửa tiền, cờ bạc trực tuyến bất hợp pháp, buôn người, và các hoạt động lừa đảo sử dụng lao động cưỡng bức. Bản thân trình duyệt, các nhà nghiên cứu nói, có liên kết trực tiếp với một mạng lưới xung quanh công ty cờ bạc trực tuyến lớn BBIN, mà các nhà nghiên cứu đã gắn nhãn là một nhóm đe dọa họ gọi là Vault Viper.

Các nhà nghiên cứu nói rằng việc phát hiện ra trình duyệt này - cộng với hành vi đáng ngờ và rủi ro của nó - cho thấy rằng tội phạm trong khu vực đang ngày càng tinh vi hơn. "Những nhóm tội phạm này, đặc biệt là các tổ chức tội phạm có tổ chức của Trung Quốc, đang ngày càng đa dạng hóa và phát triển thành gian lận có hỗ trợ mạng, lừa đảo pig butchering, mạo danh, lừa đảo, toàn bộ hệ sinh thái đó," John Wojcik, một nhà nghiên cứu đe dọa cấp cao tại Infoblox, người cũng đã làm việc trong dự án này khi ông là nhân viên tại UNODC, nói.

"Họ sẽ tiếp tục tăng gấp đôi, tái đầu tư lợi nhuận, phát triển khả năng mới," Wojcik nói. "Mối đe dọa cuối cùng đang trở nên nghiêm trọng và đáng lo ngại hơn, và đây là một ví dụ về nơi chúng ta thấy điều đó."

Bên Trong Động Cơ

Universe Browser lần đầu tiên được phát hiện - và được đề cập theo tên - bởi Infoblox và UNODC vào đầu năm nay khi họ bắt đầu phân tích các hệ thống kỹ thuật số xung quanh một hoạt động sòng bạc trực tuyến có trụ sở tại Campuchia, nơi trước đó đã bị các quan chức thực thi pháp luật đột kích. Infoblox, chuyên về quản lý và bảo mật hệ thống tên miền (DNS), đã phát hiện một dấu vân tay DNS độc đáo từ những hệ thống đó mà họ liên kết với Vault Viper, giúp các nhà nghiên cứu có thể truy vết và lập bản đồ các trang web và cơ sở hạ tầng liên kết với nhóm này.

Hàng chục nghìn tên miền web, cộng với các cơ sở hạ tầng chỉ huy và kiểm soát khác nhau và các công ty đã đăng ký, đều liên kết với hoạt động của Vault Viper, các nhà nghiên cứu Infoblox nói trong một báo cáo được chia sẻ với WIRED. Họ cũng nói rằng họ đã kiểm tra hàng trăm trang tài liệu doanh nghiệp, hồ sơ pháp lý, và hồ sơ tòa án có liên kết với BBIN hoặc các công ty con khác. Lần này đến lần khác, họ gặp Universe Browser trực tuyến.

"Chúng tôi chưa thấy Universe Browser được quảng cáo bên ngoài các tên miền mà Vault Viper kiểm soát," Maël Le Touz, một nhà nghiên cứu đe dọa tại Infoblox, nói. Báo cáo Infoblox nói rằng trình duyệt được thiết kế "cụ thể" để giúp mọi người ở châu Á - nơi cờ bạc trực tuyến phần lớn bất hợp pháp - vượt qua các hạn chế. "Mỗi trang web sòng bạc họ vận hành dường như đều chứa một liên kết và quảng cáo về nó," Le Touz nói.

Universe Browser chủ yếu được cung cấp để tải xuống trực tiếp từ các trang web sòng bạc này - thường được liên kết ở cuối trang web, bên cạnh logo của BBIN. Có các phiên bản máy tính để bàn có sẵn cho Windows, cũng như phiên bản ứng dụng trong App Store của Apple. Và mặc dù nó không có trong Google Play Store, có các tệp APK Android cho phép ứng dụng được cài đặt trực tiếp trên điện thoại Android. Các nhà nghiên cứu nói rằng nhiều phần của Universe Browser và mã cho các ứng dụng của nó tham chiếu BBIN, và các chi tiết kỹ thuật khác cũng tham chiếu công ty này.

Các nhà nghiên cứu đã thiết kế ngược phiên bản Windows của trình duyệt. Họ nói rằng mặc dù họ không thể "xác minh ý định độc hại," các yếu tố của trình duyệt mà họ phát hiện bao gồm nhiều tính năng tương tự như những gì được tìm thấy trong phần mềm độc hại và cố gắng trốn tránh phát hiện bởi các công cụ chống virus. Khi trình duyệt được khởi chạy, nó "ngay lập tức" kiểm tra vị trí của người dùng, ngôn ngữ, và liệu nó có đang chạy trong máy ảo hay không. Ứng dụng cũng cài đặt hai tiện ích mở rộng trình duyệt: một trong số đó có thể cho phép ảnh chụp màn hình được tải lên các tên miền liên kết với trình duyệt.

Trong khi cờ bạc trực tuyến ở Trung Quốc phần lớn bất hợp pháp, đất nước này cũng điều hành một số hoạt động kiểm duyệt trực tuyến nghiêm ngặt nhất thế giới và đã hành động chống lại các băng nhóm cờ bạc bất hợp pháp. Mặc dù trình duyệt có thể thường xuyên được sử dụng bởi những người cố gắng tham gia cờ bạc bất hợp pháp, nó cũng đặt dữ liệu của họ vào tình trạng rủi ro, các nhà nghiên cứu nói. "Trong tay của một kẻ xấu - ví dụ như một Tam Hợp Hội - trình duyệt này sẽ phục vụ như công cụ hoàn hảo để xác định những người chơi giàu có và có được quyền truy cập vào máy của họ," báo cáo Infoblox nói.

Ngoài việc kết nối với Trung Quốc, chạy ghi lại phím bấm, và các chương trình khác chạy trong nền, báo cáo của Infoblox cũng nói rằng nhiều chức năng đã bị vô hiệu hóa. "Chuột phải, truy cập cài đặt và công cụ nhà phát triển, chẳng hạn, tất cả đều đã bị loại bỏ, trong khi bản thân trình duyệt được chạy với một số cờ vô hiệu hóa các tính năng bảo mật chính bao gồm sandboxing, và việc loại bỏ các giao thức SSL cũ, làm tăng đáng kể rủi ro so với các trình duyệt chính thống thông thường," báo cáo của công ty nói. (SSL, còn được gọi là Secure Sockets Layer, là một loại mã hóa web lịch sử đã bảo vệ một số truyền dữ liệu.)

Không rõ liệu những hành vi đáng ngờ tương tự này có xuất hiện trong các phiên bản iOS và Android của ứng dụng hay không. Một phát ngôn viên của Google nói rằng công ty đang xem xét ứng dụng và xác nhận nó không có sẵn thông qua cửa hàng Google Play của mình. Apple không phản hồi các yêu cầu bình luận về ứng dụng.

Kết Nối Các Điểm

Cơ sở hạ tầng web xung quanh Universe Browser đã dẫn các nhà nghiên cứu trở lại BBIN, một công ty đã tồn tại từ năm 1999. Mặc dù ban đầu được thành lập tại Đài Loan, công ty hiện có một cơ sở lớn tại Philippines.

BBIN, cũng có tên gọi là Baoying Group và có nhiều công ty con, tự mô tả mình là nhà cung cấp phần mềm iGaming "hàng đầu" ở châu Á. Một báo cáo UNODC từ tháng 4, liên kết BBIN với Universe Browser nhưng không chính thức đặt tên công ty là Vault Viper, nói rằng công ty điều hành một số khách sạn và sòng bạc ở Đông Nam Á cũng như cung cấp một trong những nền tảng iGaming "lớn nhất và thành công nhất" trong khu vực. Trong thập kỷ qua, BBIN đã tài trợ hoặc hợp tác với nhiều đội bóng đá châu Âu lớn, như Atlético de Madrid của Tây Ban Nha, Borussia Dortmund của Đức, và đội Hà Lan AFC Ajax.

Trong những năm gần đây, nhiều câu lạc bộ bóng đá ở Premier League của Anh đã phải đối mặt với sự giám sát về việc tài trợ bởi các công ty cờ bạc châu Á - bao gồm TGP Europe thuộc sở hữu của Alvin Chau, chủ tịch và người sáng lập SunCity Group, người đã bị kết án vào tháng 1/2023 18 năm tù sau khi bị kết tội điều hành các hoạt động cờ bạc bất hợp pháp. TGP Europe đã rời khỏi Anh đầu năm nay sau khi bị phạt bởi cơ quan quản lý cờ bạc của đất nước. Atlético Madrid, Borussia Dortmund, và AFC Ajax không phản hồi các yêu cầu bình luận của WIRED.

Ngành iGaming phát triển phần mềm cờ bạc trực tuyến, như poker ảo hoặc các trò chơi sòng bạc trực tuyến khác, có thể dễ dàng chơi trên web hoặc trên điện thoại. "BBIN Baoying chính thức là một nhà phát triển trò chơi sòng bạc trực tuyến hoặc nền tảng sòng bạc trực tuyến 'nhãn trắng', có nghĩa là nó gia công công nghệ cờ bạc trực tuyến của mình cho các trang khác," Lindsey Kennedy, giám đốc nghiên cứu tại The EyeWitness Project, điều tra tham nhũng và tội phạm có tổ chức, nói. "Các ngôn ngữ duy nhất nó cung cấp là tiếng Hàn, tiếng Nhật và tiếng Trung, điều này không phải là dấu hiệu tốt vì cờ bạc trực tuyến bị cấm hoặc bị hạn chế nghiêm ngặt ở cả ba quốc gia."

"Baoying và BBIN là những gì tôi gọi là tập đoàn quốc tế vùng xám trị giá nhiều tỷ đô la với các kết nối tội phạm sâu sắc, hỗ trợ và cung cấp dịch vụ cho các doanh nghiệp cờ bạc trực tuyến, lừa đảo và các tác nhân tội phạm mạng," Jeremy Douglas, chánh văn phòng tại UNODC và cựu đại diện khu vực cho Đông Nam Á, cáo buộc. "Ngoài những gì đã được ước tính là quyền sở hữu hai phần ba bởi Alvin Chau của SunCity - có thể nói là kẻ rửa tiền lớn nhất trong lịch sử châu Á - các đối tác thực thi pháp luật đã ghi nhận các kết nối trực tiếp với các nhóm Tam Hợp Hội bao gồm Bamboo Union, Four Seas, Tian Dao," Douglas nói về BBIN. (Khi Chau bị kết án vào tháng 1/2023, các tài liệu tòa án chỉ ra rằng ông ta được cho là sở hữu 66,67% cổ phần của Baoying).

BBIN không phản hồi nhiều yêu cầu bình luận từ WIRED. Địa chỉ email liên hệ chính mà công ty liệt kê trên trang web của mình đã bị trả lại, trong khi các câu hỏi được gửi đến một địa chỉ email khác và các biểu mẫu liên hệ trực tuyến, cộng với các nỗ lực liên hệ với hai nhân viên được cho là trên LinkedIn đều không được trả lời vào thời điểm xuất bản. Một tài khoản Telegram của công ty đã chỉ WIRED đến một trong những biểu mẫu liên hệ không cung cấp bất kỳ câu trả lời nào.

Ủy ban Chống Tội phạm Có tổ chức của Tổng thống (PAOCC) tại Philippines, giải quyết các tội phạm có tổ chức và quốc tế, không phản hồi yêu cầu bình luận từ WIRED về BBIN.

Trong thập kỷ qua, tội phạm trực tuyến ở Đông Nam Á đã tăng vọt mạnh mẽ, được thúc đẩy một phần bởi cờ bạc trực tuyến bất hợp pháp và cũng là một loạt các khu phức hợp lừa đảo đã được thiết lập khắp Myanmar, Lào, và Campuchia. Hàng trăm nghìn người từ hơn 60 quốc gia đã bị lừa làm việc trong những khu phức hợp này, nơi họ vận hành các vụ lừa đảo ngày đêm, đánh cắp hàng tỷ đô la từ mọi người trên khắp thế giới.

"Các công viên và khu phức hợp lừa đảo khắp khu vực thường tổ chức cả hoạt động cờ bạc trực tuyến và hoạt động lừa đảo trực tuyến, và phương pháp được sử dụng để dụ dỗ cá nhân mở tài khoản cờ bạc trực tuyến tương tự như những gì liên quan đến các vụ lừa đảo pig-butchering," Jason Tower, một chuyên gia cấp cao tại Global Initiative Against Transnational Organized Crime, nói. Tuần trước, cơ quan thực thi pháp luật Mỹ đã tịch thu 15 tỷ đô la Bitcoin từ một tổ chức Campuchia khổng lồ, công khai giao dịch bất động sản nhưng được cáo buộc điều hành các cơ sở lừa đảo "bí mật". Một trong những thực thể bị trừng phạt, Jin Bei Group ở Campuchia, mà các nhà chức trách Mỹ cáo buộc vận hành một loạt khu phức hợp lừa đảo, cũng cho thấy mối liên kết với công nghệ của BBIN, Tower nói. "Có nhiều nhóm Telegram và trang web sòng bạc cho thấy rằng BBIN hợp tác với nhiều thực thể bên trong sòng bạc Jinbei," Tower nói, thêm rằng một nhóm trên Telegram "đăng quảng cáo hàng ngày cho thấy quan hệ đối tác chính thức giữa Jinbei và BBIN."

Trong những năm gần đây, nhiều thông cáo báo chí của chính phủ và báo cáo tin tức từ các quốc gia bao gồm Trung Quốc và Đài Loan, đã cáo buộc cách công nghệ của BBIN đã được sử dụng trong các hoạt động cờ bạc bất hợp pháp và liên kết với tội phạm mạng. "Có hàng trăm bài đăng Telegram quảng cáo tích cực các trang cờ bạc bất hợp pháp hướng đến người Trung Quốc khác nhau nói rằng họ hoặc là, hoặc được xây dựng trên, công nghệ BBIN/Baoying, nhiều trong số đó bởi các cá nhân tuyên bố hoạt động từ các khu phức hợp lừa đảo và cờ bạc bất hợp pháp, hoặc như một phần của ngành công nghiệp cực kỳ bất hợp pháp, được thúc đẩy bởi buôn người ở Campuchia và Bắc Myanmar," Kennedy từ The EyeWitness Project nói.

Mặc dù Universe Browser rất có thể đã được tải xuống bởi những người truy cập các trang web cờ bạc tiếng Trung, các nhà nghiên cứu nói rằng việc phát triển nó cho thấy các hoạt động cờ bạc trực tuyến bất hợp pháp quan trọng và sinh lợi như thế nào và phơi bày mối liên kết của chúng với các nỗ lực lừa đảo hoạt động trên khắp thế giới. "Khi những hoạt động này tiếp tục mở rộng quy mô và đa dạng hóa, chúng được đánh dấu bởi chuyên môn kỹ thuật ngày càng tăng, chuyên nghiệp hóa, khả năng phục hồi hoạt động, và khả năng hoạt động dưới radar với sự giám sát và giám sát rất hạn chế," báo cáo của Infoblox kết luận.