Android.Vo1d pahavara

Umbes 1,3 miljonit Androidi-põhist telerit, mis töötavad vananenud süsteemiversioonidel ja mida kasutatakse 197 riigis, on äsja avastatud pahavara Vo1d (tuntud ka kui Void) tõttu ohtu sattunud. See tagaukse pahavara manustab oma komponendid süsteemi salvestusruumi ning võib ründajatelt käskude saamisel varjatult alla laadida ja installida kolmandate osapoolte rakendusi.

Enamik nakkusi on tuvastatud Brasiilias, Marokos, Pakistanis, Saudi Araabias, Argentinas, Venemaal, Tuneesias, Ecuadoris, Malaisias, Alžeerias ja Indoneesias.

Vo1d rünnaku sihiks mitu seadet

Nakkuse täpne allikas jääb ebaselgeks. Siiski kahtlustatakse, et see tuleneb kas varasemast kompromissist, mis võimaldas ründajatel saada juurõigused, või sisseehitatud juurjuurdepääsuga mitteametlike püsivara versioonide kasutamisest.

Selles kampaanias on sihitud järgmised telerimudelid:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build / NHG47K)
• R4 (Android 7.1.2; R4 Build / NHG47K)
• TV BOX (Android 12.1; TV BOX Build / NHG47K)

Rünnak hõlmab deemonifaili „/system/bin/debuggerd” asendamist (algne fail nimetatakse varukoopiaks ümber „debuggerd_real”) ja kahe uue faili lisamine: „/system/xbin/vo1d” ja „/system/xbin/ wd.' Need failid sisaldavad petukoodi ja töötavad samaaegselt.

Google märkis, et mõjutatud telerimudelid ei olnud Play Protecti sertifikaadiga Android-seadmed ja tõenäoliselt kasutasid lähtekoodi Android Open Source Project (AOSP) hoidlast.

Küberkurjategijad muutsid pahavara edastamiseks Androidi faile

Enne Android 8.0 haldasid krahhid siluri ja debuggerd64 deemonid, nagu on märgitud Google'i Androidi dokumentatsioonis. Alates Android 8.0-st luuakse nõudmisel failid „crash_dump32” ja „crash_dump64”.

Pahavarakampaania osana muudeti kahte faili, mis on tavaliselt Androidi operatsioonisüsteemi osa – install-recovery.sh ja daemonsu –, et käivitada pahavara, käivitades mooduli „wd”.

Küberturvalisuse uurijad viitavad sellele, et pahavara autorid üritasid tõenäoliselt maskeerida selle üht komponenti süsteemiprogrammiks „/system/bin/vold”, pannes sellele nimeks „vo1d”, asendades väikese tähe „l” numbriga „1”, et luua sarnane. välimus.

'vo1d' kasulik koormus käivitab 'wd' mooduli ja tagab, et see jääb aktiivseks, laadides samal ajal alla ja käivitades käivitatavad failid käsu-ja-juhtimisserverist (C2) käskude saamisel. Lisaks jälgib see konkreetseid katalooge, installides kõik leitud APK-failid.

Kahjuks ei ole ebatavaline, et soodsate seadmete tootjad kasutavad aegunud OS-i versioone ja turustavad neid uuematena, et muuta oma tooted atraktiivsemaks.