Android.Vo1d rosszindulatú program
Körülbelül 1,3 millió Android-alapú tévédobozt, amelyek elavult rendszerverziókon működnek, és 197 országban használnak, a Vo1d (más néven Void) nevű újonnan felfedezett rosszindulatú program veszélyeztette. Ez a hátsó ajtó rosszindulatú program beágyazza összetevőit a rendszer tárolójába, és rejtetten letölthet és telepíthet harmadik féltől származó alkalmazásokat, ha parancsokat kap a támadóktól.
A legtöbb fertőzést Brazíliában, Marokkóban, Pakisztánban, Szaúd-Arábiában, Argentínában, Oroszországban, Tunéziában, Ecuadorban, Malajziában, Algériában és Indonéziában azonosították.
A Vo1d támadás által megcélzott több eszköz
A fertőzés pontos forrása továbbra sem tisztázott. Ennek ellenére feltételezhető, hogy vagy egy korábbi kompromisszumból, amely lehetővé tette a támadók számára, hogy root jogosultságokat szerezzenek, vagy nem hivatalos firmware-verziók használatából, amelyek beépített root hozzáféréssel rendelkeznek.
Ebben a kampányban a következő TV-modelleket célozták meg:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
- R4 (Android 7.1.2; R4 Build/NHG47K)
- TV BOX (Android 12.1; TV BOX Build/NHG47K)
A támadás során lecserélik a „/system/bin/debuggerd” démonfájlt (az eredeti fájlt biztonsági másolatként „debuggerd_real” névre keresztelték), és két új fájlt adunk hozzá: „/system/xbin/vo1d” és „/system/xbin/ wd.' Ezek a fájlok tartalmazzák a csaló kódot, és párhuzamosan futnak.
A Google megjegyezte, hogy az érintett TV-modellek nem Play Protect-tanúsítvánnyal rendelkező Android-eszközök, és valószínűleg az Android Open Source Project (AOSP) forráskódját használták.
A kiberbűnözők módosították az Android-fájlokat a rosszindulatú programok terjesztése érdekében
Az Android 8.0 előtt az összeomlásokat a debuggerd és a debuggerd64 démonok kezelték, amint azt a Google Android dokumentációja is megjegyzi. Az Android 8.0-tól kezdve a „crash_dump32” és a „crash_dump64” igény szerint jön létre.
A rosszindulatú programokkal kapcsolatos kampány részeként két, jellemzően az Android operációs rendszer részét képező fájlt – az install-recovery.sh-t és a daemonsu-t – úgy módosították, hogy a „wd” modul elindításával végrehajtsák a kártevőt.
A kiberbiztonsági kutatók azt sugallják, hogy a rosszindulatú programok készítői valószínűleg megpróbálták az egyik összetevőjét a „/system/bin/vold” rendszerprogramnak álcázni, úgy, hogy „vo1d”-nek nevezték el, és a kis „l” betűt „1”-re cserélték, hogy hasonlót hozzanak létre. megjelenés.
A 'vo1d' hasznos adat elindítja a 'wd' modult, és gondoskodik arról, hogy az aktív maradjon, miközben letölti és futtatja a végrehajtható fájlokat, amikor parancsokat kap egy parancs- és vezérlőkiszolgálótól (C2). Ezenkívül bizonyos könyvtárakat figyel, és telepíti a talált APK-fájlokat.
Sajnos nem szokatlan, hogy a pénztárcabarát eszközök gyártói elavult operációs rendszer-verziókat használnak, és azokat újabbként forgalmazzák, hogy termékeik vonzóbbnak tűnjenek.