Android.Vo1d मालवेयर
लगभग 1.3 मिलियन एन्ड्रोइड-आधारित टिभी बक्सहरू, जुन पुरानो प्रणाली संस्करणहरूमा सञ्चालन हुन्छ र 197 देशहरूमा प्रयोग गरिन्छ, Vo1d (Void को रूपमा पनि चिनिन्छ) नामक भर्खरै पत्ता लागेको मालवेयरद्वारा सम्झौता गरिएको छ। यो ब्याकडोर मालवेयरले प्रणाली भण्डारणमा यसको कम्पोनेन्टहरू इम्बेड गर्दछ र आक्रमणकारीहरूबाट आदेशहरू प्राप्त गर्दा गुप्त रूपमा तेस्रो-पक्ष अनुप्रयोगहरू डाउनलोड र स्थापना गर्न सक्छ।
सबैभन्दा धेरै संक्रमण ब्राजिल, मोरक्को, पाकिस्तान, साउदी अरेबिया, अर्जेन्टिना, रुस, ट्युनिसिया, इक्वेडर, मलेसिया, अल्जेरिया र इन्डोनेसियामा देखिएको छ ।
Vo1d आक्रमण द्वारा लक्षित बहु यन्त्रहरू
संक्रमणको सही स्रोत अस्पष्ट रहन्छ। अझै, यो कि त पहिलेको सम्झौताबाट स्टेम भएको शंका छ जसले आक्रमणकारीहरूलाई रूट विशेषाधिकारहरू वा निर्मित रूट पहुँचको साथ अनौपचारिक फर्मवेयर संस्करणहरूको प्रयोग गर्न अनुमति दियो।
यस अभियानमा निम्न टिभि मोडेलहरूलाई लक्षित गरिएको छ:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP बिल्ड/NHG47K)
- R4 (Android 7.1.2; R4 Build/NHG47K)
- TV BOX (Android 12.1; TV BOX Build/NHG47K)
आक्रमणमा '/system/bin/debuggerd' डेमन फाइल (मूल फाइललाई ब्याकअपको रूपमा 'debuggerd_real' मा पुन: नामाकरण गरिएको छ) र दुई नयाँ फाइलहरू थप्ने समावेश छ: '/system/xbin/vo1d' र '/system/xbin/ wd।' यी फाइलहरूले धोखाधडी कोड समावेश गर्दछ र एकसाथ चल्छ।
गुगलले नोट गर्यो कि प्रभावित टिभी मोडेलहरू प्ले प्रोटेक्ट-प्रमाणित एन्ड्रोइड उपकरणहरू थिएनन् र सम्भवतः एन्ड्रोइड ओपन सोर्स प्रोजेक्ट (AOSP) भण्डारबाट स्रोत कोड प्रयोग गरिएको थियो।
साइबर अपराधीहरूले मालवेयर डेलिभर गर्न एन्ड्रोइड फाइलहरू परिमार्जन गरे
एन्ड्रोइड 8.0 भन्दा पहिले, Google को एन्ड्रोइड कागजातमा उल्लेख गरिए अनुसार, क्र्यासहरू डिबगर र डिबगरड64 डेमनहरूद्वारा व्यवस्थित गरिएको थियो। एन्ड्रोइड 8.0 बाट सुरु हुँदै, 'crash_dump32' र 'crash_dump64' माग अनुसार उत्पन्न हुन्छ।
मालवेयर अभियानको भागको रूपमा, दुई फाइलहरू जुन सामान्यतया एन्ड्रोइड अपरेटिङ सिस्टमको भाग हुन् - install-recovery.sh र daemonsu - लाई 'wd' मोड्युल सुरु गरेर मालवेयर कार्यान्वयन गर्न परिवर्तन गरिएको थियो।
साइबरसेक्युरिटी अनुसन्धानकर्ताहरूले सुझाव दिन्छन् कि मालवेयर लेखकहरूले सम्भवतः यसको कम्पोनेन्टहरू मध्ये एउटालाई प्रणाली कार्यक्रम '/system/bin/vold' लाई 'vo1d' नाम दिएर, लोअरकेस 'l' लाई नम्बर '1' सँग प्रतिस्थापन गरेर समान सिर्जना गर्न प्रयास गरेको हुन सक्छ। उपस्थिति।
'vo1d' पेलोडले 'wd' मोड्युल सुरु गर्छ र यो सक्रिय रहन्छ भनी सुनिश्चित गर्दछ, साथै कमांड-एण्ड-कन्ट्रोल (C2) सर्भरबाट आदेशहरू प्राप्त गर्दा कार्यान्वयनयोग्यहरू डाउनलोड र चलिरहेको हुन्छ। थप रूपमा, यसले कुनै पनि एपीके फाइलहरू फेला पार्दै, विशेष डाइरेक्टरीहरू निगरानी गर्दछ।
दुर्भाग्यवश, बजेट उपकरण निर्माताहरूले पुरानो OS संस्करणहरू प्रयोग गर्न र तिनीहरूका उत्पादनहरूलाई अझ आकर्षक बनाउनको लागि तिनीहरूलाई हालैको रूपमा मार्केट गर्न असामान्य छैन।