Android.Vo1d मैलवेयर
लगभग 1.3 मिलियन एंड्रॉइड-आधारित टीवी बॉक्स, जो पुराने सिस्टम संस्करणों पर चल रहे हैं और 197 देशों में उपयोग किए जाते हैं, Vo1d (जिसे Void के नाम से भी जाना जाता है) नामक एक नए खोजे गए मैलवेयर द्वारा समझौता किया गया है। यह बैकडोर मैलवेयर अपने घटकों को सिस्टम स्टोरेज में एम्बेड करता है और हमलावरों से आदेश प्राप्त करने पर गुप्त रूप से थर्ड-पार्टी एप्लिकेशन डाउनलोड और इंस्टॉल कर सकता है।
अधिकांश संक्रमण ब्राजील, मोरक्को, पाकिस्तान, सऊदी अरब, अर्जेंटीना, रूस, ट्यूनीशिया, इक्वाडोर, मलेशिया, अल्जीरिया और इंडोनेशिया में पाए गए हैं।
Vo1d हमले से कई डिवाइस लक्ष्यित
संक्रमण का सटीक स्रोत अभी भी अस्पष्ट है। फिर भी, यह संदेह है कि यह या तो किसी पूर्व समझौते से उत्पन्न हुआ है जिसने हमलावरों को रूट विशेषाधिकार प्राप्त करने की अनुमति दी या अंतर्निहित रूट एक्सेस के साथ अनौपचारिक फर्मवेयर संस्करणों का उपयोग किया।
इस अभियान में निम्नलिखित टीवी मॉडलों को लक्षित किया गया है:
- KJ-SMART4KVIP (एंड्रॉइड 10.1; KJ-SMART4KVIP बिल्ड/NHG47K)
- R4 (एंड्रॉइड 7.1.2; R4 बिल्ड/NHG47K)
- टीवी बॉक्स (एंड्रॉइड 12.1; टीवी बॉक्स बिल्ड/NHG47K)
इस हमले में '/system/bin/debuggerd' डेमॉन फ़ाइल को प्रतिस्थापित करना (बैकअप के रूप में मूल फ़ाइल का नाम बदलकर 'debuggerd_real' कर दिया जाता है) तथा दो नई फ़ाइलें जोड़ना शामिल है: '/system/xbin/vo1d' तथा '/system/xbin/wd.' इन फ़ाइलों में धोखाधड़ी वाला कोड होता है तथा ये एक साथ चलती हैं।
गूगल ने बताया कि प्रभावित टीवी मॉडल प्ले प्रोटेक्ट-प्रमाणित एंड्रॉयड डिवाइस नहीं थे और संभवतः इनमें एंड्रॉयड ओपन सोर्स प्रोजेक्ट (AOSP) रिपोजिटरी से सोर्स कोड का उपयोग किया गया था।
साइबर अपराधियों ने मैलवेयर पहुंचाने के लिए एंड्रॉयड फाइलों में बदलाव किया
एंड्रॉइड 8.0 से पहले, क्रैश को debuggerd और debuggerd64 डेमॉन द्वारा प्रबंधित किया जाता था, जैसा कि Google के एंड्रॉइड डॉक्यूमेंटेशन में बताया गया है। एंड्रॉइड 8.0 से शुरू होकर, 'crash_dump32' और 'crash_dump64' को मांग पर बनाया जाता है।
मैलवेयर अभियान के एक भाग के रूप में, दो फाइलें, जो आमतौर पर एंड्रॉयड ऑपरेटिंग सिस्टम का हिस्सा होती हैं - install-recovery.sh और daemonsu - को 'wd' मॉड्यूल लॉन्च करके मैलवेयर को निष्पादित करने के लिए परिवर्तित किया गया था।
साइबर सुरक्षा शोधकर्ताओं का सुझाव है कि मैलवेयर लेखकों ने संभवतः इसके एक घटक को सिस्टम प्रोग्राम '/system/bin/vold' के रूप में छिपाने का प्रयास किया है, तथा इसका नाम 'vo1d' रखा है, तथा समान स्वरूप बनाने के लिए छोटे अक्षर 'l' के स्थान पर संख्या '1' लगा दी है।
'vo1d' पेलोड 'wd' मॉड्यूल को शुरू करता है और सुनिश्चित करता है कि यह सक्रिय रहे, साथ ही कमांड-एंड-कंट्रोल (C2) सर्वर से कमांड प्राप्त करने पर एक्जीक्यूटेबल को डाउनलोड और चलाता है। इसके अतिरिक्त, यह विशिष्ट निर्देशिकाओं की निगरानी करता है, जो भी APK फ़ाइलें पाता है उन्हें इंस्टॉल करता है।
दुर्भाग्यवश, बजट डिवाइस निर्माताओं द्वारा अपने उत्पादों को अधिक आकर्षक बनाने के लिए पुराने ऑपरेटिंग सिस्टम संस्करणों का उपयोग करना तथा उन्हें नवीनतम संस्करण के रूप में बाजार में पेश करना असामान्य बात नहीं है।