Android.Vo1d kenkėjiška programa

Maždaug 1,3 milijono „Android“ pagrįstų TV priedų, veikiančių pasenusiose sistemos versijose ir naudojamų 197 šalyse, buvo pažeista naujai atrasta kenkėjiška programa Vo1d (taip pat žinoma kaip Void). Ši užpakalinių durų kenkėjiška programa įterpia savo komponentus į sistemos saugyklą ir gali slapta atsisiųsti bei įdiegti trečiųjų šalių programas, gavusi komandas iš užpuolikų.

Daugiausia infekcijų nustatyta Brazilijoje, Maroke, Pakistane, Saudo Arabijoje, Argentinoje, Rusijoje, Tunise, Ekvadore, Malaizijoje, Alžyre ir Indonezijoje.

Keli įrenginiai, nukreipti į Vo1d ataką

Tikslus infekcijos šaltinis lieka neaiškus. Vis dėlto įtariama, kad tai kilo dėl ankstesnio kompromiso, leidžiančio užpuolikams įgyti root teises, arba dėl neoficialių programinės įrangos versijų su integruota root prieiga naudojimo.

Šioje kampanijoje buvo taikomi šie televizorių modeliai:

• KJ-SMART4KVIP („Android 10.1“; KJ-SMART4KVIP Build / NHG47K)
• R4 („Android 7.1.2“; R4 Build / NHG47K)
• TV BOX („Android 12.1“; TV BOX Build / NHG47K)

Ataka apima demono failo „/system/bin/debuggerd“ pakeitimą (pirminis failas pervadinamas į „debuggerd_real“ kaip atsarginę kopiją) ir pridedami du nauji failai: „/system/xbin/vo1d“ ir „/system/xbin/“. wd.' Šiuose failuose yra apgaulingo kodo ir jie veikia vienu metu.

„Google“ pažymėjo, kad paveikti televizorių modeliai nebuvo „Play Protect“ sertifikuoti „Android“ įrenginiai ir greičiausiai naudojo šaltinio kodą iš „Android Open Source Project“ (AOSP) saugyklos.

Kibernetiniai nusikaltėliai modifikavo „Android“ failus, kad pristatytų kenkėjiškas programas

Prieš naudojant „Android 8.0“, gedimus valdė derinimo ir debuggerd64 demonai, kaip nurodyta „Google“ „Android“ dokumentacijoje. Pradedant nuo 8.0 versijos „Android“, „crash_dump32“ ir „crash_dump64“ atsiranda pagal poreikį.

Vykdant kenkėjiškų programų kampaniją, du failai, kurie paprastai yra „Android“ operacinės sistemos dalis – install-recovery.sh ir daemonsu – buvo pakeisti, kad kenkėjiška programa būtų paleista paleidžiant „wd“ modulį.

Kibernetinio saugumo tyrinėtojai teigia, kad kenkėjiškų programų autoriai tikriausiai bandė užmaskuoti vieną iš jos komponentų kaip sistemos programą „/system/bin/vold“, pavadindami ją „vo1d“, o mažąsias raides „l“ pakeisdami skaičiumi „1“, kad sukurtų panašų. išvaizda.

„vo1d“ naudingoji apkrova paleidžia „wd“ modulį ir užtikrina, kad jis liktų aktyvus, o taip pat atsisiunčia ir paleidžia vykdomuosius failus, kai gaunamos komandos iš komandų ir valdymo (C2) serverio. Be to, jis stebi konkrečius katalogus, įdiegdamas visus rastus APK failus.

Deja, nėra neįprasta, kad nebrangių įrenginių gamintojai naudoja pasenusias OS versijas ir pateikia jas kaip naujesnes, kad jų produktai atrodytų patrauklesni.