Draudu datu bāze Aizmugures durvis Android.Vo1d ļaunprātīga programmatūra

Android.Vo1d ļaunprātīga programmatūra

Aptuveni 1,3 miljoni Android televizoru, kas darbojas ar novecojušām sistēmas versijām un tiek izmantoti 197 valstīs, ir apdraudēti ar jaunatklātu ļaunprogrammatūru Vo1d (pazīstama arī kā Void). Šī aizmugures ļaunprātīgā programmatūra iegulst savus komponentus sistēmas krātuvē un var slēpti lejupielādēt un instalēt trešo pušu lietojumprogrammas, saņemot komandas no uzbrucējiem.

Lielākā daļa infekciju ir konstatētas Brazīlijā, Marokā, Pakistānā, Saūda Arābijā, Argentīnā, Krievijā, Tunisijā, Ekvadorā, Malaizijā, Alžīrijā un Indonēzijā.

Vairākas ierīces, kuru mērķauditorija ir Vo1d uzbrukums

Precīzs infekcijas avots joprojām nav skaidrs. Tomēr tiek uzskatīts, ka tas ir saistīts vai nu ar iepriekšēju kompromisu, kas ļāva uzbrucējiem iegūt root tiesības, vai arī no neoficiālu programmaparatūras versiju izmantošanas ar iebūvētu root piekļuvi.

Šajā kampaņā ir atlasīti šādi televizoru modeļi:

  • KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
  • R4 (Android 7.1.2; R4 Build/NHG47K)
  • TV BOX (Android 12.1; TV BOX Build/NHG47K)

Uzbrukums ietver dēmona faila “/system/bin/debuggerd” aizstāšanu (sākotnējais fails tiek pārdēvēts par “debuggerd_real” kā dublējumu) un divu jaunu failu pievienošana: “/system/xbin/vo1d” un “/system/xbin/ wd.' Šajos failos ir ietverts krāpnieciskais kods un tie darbojas vienlaikus.

Google norādīja, ka ietekmētie televizoru modeļi nebija Play Protect sertificētas Android ierīces un, iespējams, izmantoja pirmkodu no Android Open Source Project (AOSP) krātuves.

Kibernoziedznieki pārveidoja Android failus, lai nodrošinātu ļaunprātīgu programmatūru

Pirms operētājsistēmas Android 8.0 avārijas pārvaldīja atkļūdotāja un atkļūdotāja64 dēmoni, kā norādīts Google Android dokumentācijā. Sākot ar operētājsistēmu Android 8.0, “crash_dump32” un “crash_dump64” tiek radīti pēc pieprasījuma.

Ļaunprātīgas programmatūras kampaņas ietvaros divi faili, kas parasti ir daļa no Android operētājsistēmas – install-recovery.sh un daemonsu – tika mainīti, lai palaistu ļaunprogrammatūru, palaižot moduli “wd”.

Kiberdrošības pētnieki norāda, ka ļaunprogrammatūras autori, iespējams, mēģināja slēpt vienu no tās komponentiem kā sistēmas programmu "/system/bin/vold", nosaucot to par "vo1d", aizstājot mazo burtu "l" ar skaitli "1", lai izveidotu līdzīgu. izskats.

“Vo1d” lietderīgā slodze palaiž “wd” moduli un nodrošina, ka tas paliek aktīvs, kā arī lejupielādē un palaiž izpildāmos failus, saņemot komandas no komandu un vadības (C2) servera. Turklāt tas uzrauga konkrētus direktorijus, instalējot visus atrastos APK failus.

Diemžēl nav nekas neparasts, ka budžeta ierīču ražotāji izmanto novecojušas OS versijas un pārdod tās kā jaunākas, lai padarītu savus produktus pievilcīgākus.

Tendences

Visvairāk skatīts

Notiek ielāde...