Slevová nabídka pro více licencí
Databáze hrozeb Zadní vrátka Android.Vo1d Malware

Android.Vo1d Malware

V roce Mezo v roce Zadní vrátka, trojské koně
Přeložit do:
Čeština

Přibližně 1,3 milionu TV boxů se systémem Android, které fungují na zastaralých verzích systému a používají se ve 197 zemích, bylo napadeno nově objeveným malwarem s názvem Vo1d (také známý jako Void). Tento malware backdoor vkládá své komponenty do systémového úložiště a může skrytě stahovat a instalovat aplikace třetích stran po obdržení příkazů od útočníků.

Nejvíce infekcí bylo identifikováno v Brazílii, Maroku, Pákistánu, Saúdské Arábii, Argentině, Rusku, Tunisku, Ekvádoru, Malajsii, Alžírsku a Indonésii.

Útok Vo1d je zacílen na více zařízení

Přesný zdroj infekce zůstává nejasný. Přesto existuje podezření, že pramení buď z předchozího kompromisu, který útočníkům umožnil získat práva root, nebo z použití neoficiálních verzí firmwaru s vestavěným přístupem root.

Tato kampaň cílí na následující modely televizorů:

  • KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
  • R4 (Android 7.1.2; R4 Build/NHG47K)
  • TV BOX (Android 12.1; sestavení TV BOX/NHG47K)

Útok zahrnuje nahrazení souboru démona '/system/bin/debuggerd' (původní soubor je jako záloha přejmenován na 'debuggerd_real') a přidání dvou nových souborů: '/system/xbin/vo1d' a '/system/xbin/ wd.' Tyto soubory obsahují podvodný kód a běží souběžně.

Google poznamenal, že dotčené modely televizorů nebyly zařízení Android s certifikací Play Protect a pravděpodobně používaly zdrojový kód z úložiště Android Open Source Project (AOSP).

Kyberzločinci upravili soubory Android tak, aby poskytovaly malware

Před Androidem 8.0 byla selhání řízena démony debuggerd a debuggerd64, jak je uvedeno v dokumentaci Androidu společnosti Google. Počínaje Androidem 8.0 se 'crash_dump32' a 'crash_dump64' vytvářejí na vyžádání.

V rámci kampaně proti malwaru byly dva soubory, které jsou obvykle součástí operačního systému Android – install-recovery.sh a daemonsu – upraveny tak, aby spouštěly malware spuštěním modulu „wd“.

Výzkumníci v oblasti kybernetické bezpečnosti naznačují, že se autoři malwaru pravděpodobně pokusili zamaskovat jednu z jeho součástí jako systémový program „/system/bin/vold“ pojmenováním „vo1d“, přičemž malé písmeno „l“ nahradili číslem „1“, aby vytvořili podobný vzhled.

Užitná zátěž 'vo1d' spouští modul 'wd' a zajišťuje, že zůstává aktivní, a zároveň stahuje a spouští spustitelné soubory po přijetí příkazů ze serveru příkazů a řízení (C2). Kromě toho sleduje konkrétní adresáře a instaluje všechny nalezené soubory APK.

Bohužel není neobvyklé, že výrobci levných zařízení používají zastaralé verze OS a prodávají je jako novější, aby jejich produkty vypadaly atraktivněji.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
37,753
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...