Android.Vo1d ম্যালওয়্যার

আনুমানিক 1.3 মিলিয়ন অ্যান্ড্রয়েড-ভিত্তিক টিভি বক্স, পুরানো সিস্টেম সংস্করণে কাজ করে এবং 197টি দেশে ব্যবহৃত হয়, Vo1d নামে একটি নতুন আবিষ্কৃত ম্যালওয়্যার দ্বারা আপোস করা হয়েছে (অকার্যকর নামেও পরিচিত)৷ এই ব্যাকডোর ম্যালওয়্যারটি সিস্টেম স্টোরেজে এর উপাদানগুলিকে এম্বেড করে এবং আক্রমণকারীদের কাছ থেকে কমান্ড পাওয়ার পরে গোপনে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি ডাউনলোড এবং ইনস্টল করতে পারে৷

সবচেয়ে বেশি সংক্রমণ শনাক্ত করা হয়েছে ব্রাজিল, মরক্কো, পাকিস্তান, সৌদি আরব, আর্জেন্টিনা, রাশিয়া, তিউনিসিয়া, ইকুয়েডর, মালয়েশিয়া, আলজেরিয়া এবং ইন্দোনেশিয়ায়।

Vo1d আক্রমণ দ্বারা লক্ষ্য করা একাধিক ডিভাইস

সংক্রমণের সঠিক উৎস অস্পষ্ট রয়ে গেছে। তবুও, এটি একটি পূর্বের সমঝোতা থেকে উদ্ভূত বলে সন্দেহ করা হচ্ছে যা আক্রমণকারীদের রুট সুবিধা বা অন্তর্নির্মিত রুট অ্যাক্সেস সহ অনানুষ্ঠানিক ফার্মওয়্যার সংস্করণ ব্যবহার করার অনুমতি দিয়েছে।

এই প্রচারাভিযানে নিম্নলিখিত টিভি মডেলগুলিকে লক্ষ্য করা হয়েছে:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP বিল্ড/NHG47K)
• R4 (Android 7.1.2; R4 Buil/NHG47K)
• টিভি বক্স (Android 12.1; TV BOX Build/NHG47K)

আক্রমণে '/system/bin/debuggerd' ডেমন ফাইলটি প্রতিস্থাপন করা জড়িত (মূল ফাইলটিকে ব্যাকআপ হিসাবে 'debuggerd_real' নামকরণ করা হয়েছে) এবং দুটি নতুন ফাইল যোগ করা: '/system/xbin/vo1d' এবং '/system/xbin/ wd.' এই ফাইলগুলি প্রতারণামূলক কোড ধারণ করে এবং একই সাথে চালানো হয়।

Google উল্লেখ করেছে যে প্রভাবিত টিভি মডেলগুলি প্লে প্রোটেক্ট-প্রত্যয়িত অ্যান্ড্রয়েড ডিভাইস ছিল না এবং সম্ভবত অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থল থেকে সোর্স কোড ব্যবহার করা হয়েছিল।

ম্যালওয়্যার সরবরাহ করতে সাইবার অপরাধীরা অ্যান্ড্রয়েড ফাইলগুলিকে পরিবর্তিত করেছে৷

অ্যান্ড্রয়েড 8.0 এর আগে, ক্র্যাশগুলি ডিবাগারড এবং ডিবাগারড64 ডেমন দ্বারা পরিচালিত হত, যেমনটি গুগলের অ্যান্ড্রয়েড ডকুমেন্টেশনে উল্লেখ করা হয়েছে। Android 8.0 দিয়ে শুরু করে, 'crash_dump32' এবং 'crash_dump64' চাহিদার ভিত্তিতে তৈরি করা হয়েছে।

ম্যালওয়্যার প্রচারের অংশ হিসাবে, দুটি ফাইল যা সাধারণত অ্যান্ড্রয়েড অপারেটিং সিস্টেমের অংশ - install-recovery.sh এবং daemonsu - 'wd' মডিউল চালু করার মাধ্যমে ম্যালওয়্যার চালানোর জন্য পরিবর্তন করা হয়েছিল।

সাইবারসিকিউরিটি গবেষকরা পরামর্শ দিয়েছেন যে ম্যালওয়্যার লেখকরা সম্ভবত এটির একটি উপাদানকে সিস্টেম প্রোগ্রাম '/system/bin/vold' হিসাবে ছদ্মবেশী করার চেষ্টা করেছেন 'vo1d' নামকরণ করে, ছোট হাতের 'l' এর পরিবর্তে '1' নম্বর দিয়ে অনুরূপ তৈরি করতে চেহারা

'vo1d' পেলোড 'wd' মডিউলটি শুরু করে এবং নিশ্চিত করে যে এটি সক্রিয় থাকে, এছাড়াও একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে কমান্ড পাওয়ার পরে এক্সিকিউটেবল ডাউনলোড এবং চালানো হয়। উপরন্তু, এটি নির্দিষ্ট ডিরেক্টরিগুলি নিরীক্ষণ করে, এটি খুঁজে পাওয়া যে কোনও APK ফাইল ইনস্টল করে।

দুর্ভাগ্যবশত, বাজেট ডিভাইস নির্মাতাদের পুরানো ওএস সংস্করণ ব্যবহার করা এবং তাদের পণ্যগুলিকে আরও আকর্ষণীয় মনে করার জন্য তাদের সাম্প্রতিক হিসাবে বাজারজাত করা অস্বাভাবিক নয়।