មេរោគ Android.Vo1d

ប្រអប់ទូរទស្សន៍ដែលមានមូលដ្ឋានលើប្រព័ន្ធប្រតិបត្តិការ Android ប្រហែល 1.3 លាន ដែលដំណើរការលើកំណែប្រព័ន្ធហួសសម័យ និងត្រូវបានប្រើប្រាស់នៅទូទាំង 197 ប្រទេស ត្រូវបានសម្របសម្រួលដោយមេរោគដែលបានរកឃើញថ្មីហៅថា Vo1d (ហៅម្យ៉ាងទៀតថា Void)។ មេរោគ backdoor នេះបង្កប់សមាសធាតុរបស់វានៅក្នុងកន្លែងផ្ទុកប្រព័ន្ធ ហើយអាចទាញយក និងដំឡើងកម្មវិធីភាគីទីបីដោយសម្ងាត់ នៅពេលទទួលពាក្យបញ្ជាពីអ្នកវាយប្រហារ។

ការឆ្លងភាគច្រើនត្រូវបានកំណត់អត្តសញ្ញាណនៅក្នុងប្រទេសប្រេស៊ីល ម៉ារ៉ុក ប៉ាគីស្ថាន អារ៉ាប៊ីសាអូឌីត អាហ្សង់ទីន រុស្ស៊ី ទុយនេស៊ី អេក្វាឌ័រ ម៉ាឡេស៊ី អាល់ហ្សេរី និងឥណ្ឌូនេស៊ី។

ឧបករណ៍ជាច្រើនត្រូវបានកំណត់គោលដៅដោយការវាយប្រហារ Vo1d

ប្រភពពិតប្រាកដនៃការឆ្លងនៅតែមិនច្បាស់លាស់។ ទោះយ៉ាងណាក៏ដោយ វាត្រូវបានគេសង្ស័យថាបានមកពីការសម្របសម្រួលពីមុន ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានសិទ្ធិជា root ឬការប្រើប្រាស់កំណែកម្មវិធីបង្កប់ក្រៅផ្លូវការជាមួយនឹងការចូលប្រើជា root ។

ម៉ូដែលទូរទស្សន៍ខាងក្រោមត្រូវបានកំណត់គោលដៅនៅក្នុងយុទ្ធនាការនេះ៖

  • KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
  • R4 (Android 7.1.2; R4 Build/NHG47K)
  • ប្រអប់ទូរទស្សន៍ (Android 12.1; TV BOX Build/NHG47K)

ការវាយប្រហារពាក់ព័ន្ធនឹងការជំនួសឯកសារដេមិន '/system/bin/debuggerd' (ឯកសារដើមត្រូវបានប្តូរឈ្មោះទៅជា 'debuggerd_real' ជាការបម្រុងទុក) និងបន្ថែមឯកសារថ្មីពីរ៖ '/system/xbin/vo1d' និង '/system/xbin/ wd.' ឯកសារទាំងនេះមានកូដក្លែងបន្លំ ហើយដំណើរការក្នុងពេលដំណាលគ្នា។

Google បានកត់សម្គាល់ថាម៉ូដែលទូរទស្សន៍ដែលរងផលប៉ះពាល់មិនមែនជាឧបករណ៍ Android ដែលត្រូវបានបញ្ជាក់ដោយ Play Protect ហើយទំនងជាបានប្រើកូដប្រភពពីឃ្លាំង Android Open Source Project (AOSP) ។

Cybercriminals បានកែប្រែឯកសារ Android ដើម្បីចែកចាយមេរោគ

មុននឹង Android 8.0 ការគាំងត្រូវបានគ្រប់គ្រងដោយដេមិនបំបាត់កំហុស និង debuggerd64 ដូចដែលបានកត់សម្គាល់នៅក្នុងឯកសារ Android របស់ Google ។ ចាប់ផ្តើមជាមួយប្រព័ន្ធប្រតិបត្តិការ Android 8.0 'crash_dump32' និង 'crash_dump64' ត្រូវបានបង្កើតឡើងតាមតម្រូវការ។

ជាផ្នែកមួយនៃយុទ្ធនាការមេរោគ ឯកសារពីរដែលជាធម្មតាជាផ្នែកមួយនៃប្រព័ន្ធប្រតិបត្តិការ Android - install-recovery.sh និង daemonsu - ត្រូវបានផ្លាស់ប្តូរដើម្បីប្រតិបត្តិមេរោគដោយបើកដំណើរការម៉ូឌុល 'wd' ។

អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតណែនាំថា អ្នកនិពន្ធមេរោគទំនងជាព្យាយាមក្លែងបន្លំធាតុផ្សំរបស់វាជាកម្មវិធីប្រព័ន្ធ '/system/bin/vold' ដោយដាក់ឈ្មោះវាថា 'vo1d' ដោយជំនួសអក្សរតូច 'l' ជាមួយលេខ '1' ដើម្បីបង្កើតស្រដៀងគ្នា។ រូបរាង។

'vo1d' payload ចាប់ផ្តើមម៉ូឌុល 'wd' ហើយត្រូវប្រាកដថាវានៅតែសកម្ម ខណៈពេលដែលកំពុងទាញយក និងដំណើរការដែលអាចប្រតិបត្តិបាននៅពេលទទួលពាក្យបញ្ជាពី server command-and-control (C2)។ លើសពីនេះទៀតវាត្រួតពិនិត្យថតជាក់លាក់ដោយដំឡើងឯកសារ APK ណាមួយដែលវារកឃើញ។

ជាអកុសល វាមិនមែនជារឿងចម្លែកទេសម្រាប់ក្រុមហ៊ុនផលិតឧបករណ៍ថវិកាដែលប្រើកំណែប្រព័ន្ធប្រតិបត្តិការហួសសម័យ ហើយធ្វើទីផ្សារឱ្យពួកគេកាន់តែថ្មីៗដើម្បីធ្វើឱ្យផលិតផលរបស់ពួកគេហាក់ដូចជាទាក់ទាញជាងមុន។

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...