Ponuda s popustom na više licenci
Baza prijetnji Stražnja vrata Android.Vo1d zlonamjerni softver

Android.Vo1d zlonamjerni softver

Do Mezo. Stražnja vrata, Trojanci. godine
Prevedi na:
Hrvatski

Otprilike 1,3 milijuna TV uređaja temeljenih na Androidu, koji rade na zastarjelim verzijama sustava i koriste se u 197 zemalja, ugroženo je novootkrivenim zlonamjernim softverom nazvanim Vo1d (također poznat kao Void). Ovaj backdoor zlonamjerni softver ugrađuje svoje komponente u sistemsku pohranu i može tajno preuzimati i instalirati aplikacije trećih strana nakon primanja naredbi od napadača.

Najviše zaraza zabilježeno je u Brazilu, Maroku, Pakistanu, Saudijskoj Arabiji, Argentini, Rusiji, Tunisu, Ekvadoru, Maleziji, Alžiru i Indoneziji.

Više uređaja na meti Vo1d napada

Točan izvor zaraze ostaje nejasan. Ipak, sumnja se da potječe ili od prethodnog kompromisa koji je napadačima omogućio dobivanje root privilegija ili korištenja neslužbenih verzija firmvera s ugrađenim root pristupom.

Sljedeći modeli televizora ciljani su u ovoj kampanji:

  • KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
  • R4 (Android 7.1.2; R4 Build/NHG47K)
  • TV BOX (Android 12.1; verzija TV BOX-a/NHG47K)

Napad uključuje zamjenu demonske datoteke '/system/bin/debuggerd' (izvorna datoteka preimenovana je u 'debuggerd_real' kao rezervna kopija) i dodavanje dvije nove datoteke: '/system/xbin/vo1d' i '/system/xbin/ wd.' Ove datoteke sadrže lažni kod i pokreću se istodobno.

Google je primijetio da zahvaćeni TV modeli nisu Android uređaji s certifikatom Play Protecta i da su vjerojatno koristili izvorni kod iz repozitorija Android Open Source Project (AOSP).

Cyberkriminalci su modificirali Android datoteke za isporuku zlonamjernog softvera

Prije Androida 8.0, rušenjima su upravljali demoni debuggerd i debuggerd64, kao što je navedeno u Googleovoj Android dokumentaciji. Počevši od Androida 8.0, 'crash_dump32' i 'crash_dump64' stvaraju se na zahtjev.

Kao dio kampanje zlonamjernog softvera, dvije datoteke koje su obično dio operativnog sustava Android – install-recovery.sh i daemonsu – promijenjene su kako bi pokrenule zlonamjerni softver pokretanjem modula 'wd'.

Istraživači kibernetičke sigurnosti sugeriraju da su autori zlonamjernog softvera vjerojatno pokušali maskirati jednu od njegovih komponenti kao sistemski program '/system/bin/vold' nazivajući ga 'vo1d', zamjenjujući malo slovo 'l' s brojem '1' kako bi stvorili sličan izgled.

Korisni teret 'vo1d' pokreće modul 'wd' i osigurava da ostane aktivan, dok također preuzima i pokreće izvršne datoteke nakon primanja naredbi s poslužitelja za naredbe i kontrolu (C2). Osim toga, prati određene direktorije, instalira sve APK datoteke koje pronađe.

Nažalost, nije neuobičajeno da proizvođači jeftinih uređaja koriste zastarjele verzije OS-a i prodaju ih kao novije kako bi njihovi proizvodi djelovali privlačnije.

U trendu

Nagledanije

Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

Lažne poruke upozorenja
29,261
Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
Učitavam...