Android.Vo1d ਮਾਲਵੇਅਰ

ਲਗਭਗ 1.3 ਮਿਲੀਅਨ ਐਂਡਰੌਇਡ-ਆਧਾਰਿਤ ਟੀਵੀ ਬਾਕਸ, ਪੁਰਾਣੇ ਸਿਸਟਮ ਸੰਸਕਰਣਾਂ 'ਤੇ ਕੰਮ ਕਰਦੇ ਹਨ ਅਤੇ 197 ਦੇਸ਼ਾਂ ਵਿੱਚ ਵਰਤੇ ਜਾਂਦੇ ਹਨ, ਨੂੰ Vo1d (Void ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਖੋਜੇ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਸਿਸਟਮ ਸਟੋਰੇਜ ਵਿੱਚ ਇਸਦੇ ਭਾਗਾਂ ਨੂੰ ਏਮਬੇਡ ਕਰਦਾ ਹੈ ਅਤੇ ਹਮਲਾਵਰਾਂ ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ 'ਤੇ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਤੀਜੀ-ਧਿਰ ਦੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਸਥਾਪਿਤ ਕਰ ਸਕਦਾ ਹੈ।

ਜ਼ਿਆਦਾਤਰ ਲਾਗਾਂ ਦੀ ਪਛਾਣ ਬ੍ਰਾਜ਼ੀਲ, ਮੋਰੋਕੋ, ਪਾਕਿਸਤਾਨ, ਸਾਊਦੀ ਅਰਬ, ਅਰਜਨਟੀਨਾ, ਰੂਸ, ਟਿਊਨੀਸ਼ੀਆ, ਇਕਵਾਡੋਰ, ਮਲੇਸ਼ੀਆ, ਅਲਜੀਰੀਆ ਅਤੇ ਇੰਡੋਨੇਸ਼ੀਆ ਵਿੱਚ ਕੀਤੀ ਗਈ ਹੈ।

Vo1d ਹਮਲੇ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਮਲਟੀਪਲ ਡਿਵਾਈਸਾਂ

ਲਾਗ ਦਾ ਸਹੀ ਸਰੋਤ ਅਸਪਸ਼ਟ ਰਹਿੰਦਾ ਹੈ। ਫਿਰ ਵੀ, ਇਹ ਕਿਸੇ ਪੁਰਾਣੇ ਸਮਝੌਤਾ ਤੋਂ ਪੈਦਾ ਹੋਣ ਦਾ ਸ਼ੱਕ ਹੈ ਜਿਸ ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਰੂਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਸੀ ਜਾਂ ਬਿਲਟ-ਇਨ ਰੂਟ ਐਕਸੈਸ ਦੇ ਨਾਲ ਅਣਅਧਿਕਾਰਤ ਫਰਮਵੇਅਰ ਸੰਸਕਰਣਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਸੀ।

ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਹੇਠਾਂ ਦਿੱਤੇ ਟੀਵੀ ਮਾਡਲਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਹੈ:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP ਬਿਲਡ/NHG47K)
• R4 (Android 7.1.2; R4 ਬਿਲਡ/NHG47K)
• ਟੀਵੀ ਬਾਕਸ (ਐਂਡਰਾਇਡ 12.1; ਟੀਵੀ ਬਾਕਸ ਬਿਲਡ/NHG47K)

ਹਮਲੇ ਵਿੱਚ '/system/bin/debuggerd' ਡੈਮਨ ਫਾਈਲ ਨੂੰ ਬਦਲਣਾ ਸ਼ਾਮਲ ਹੈ (ਅਸਲ ਫਾਈਲ ਦਾ ਨਾਮ ਬੈਕਅਪ ਵਜੋਂ 'debuggerd_real' ਰੱਖਿਆ ਗਿਆ ਹੈ) ਅਤੇ ਦੋ ਨਵੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਜੋੜਨਾ: '/system/xbin/vo1d' ਅਤੇ '/system/xbin/ wd.' ਇਹਨਾਂ ਫਾਈਲਾਂ ਵਿੱਚ ਧੋਖਾਧੜੀ ਵਾਲਾ ਕੋਡ ਹੁੰਦਾ ਹੈ ਅਤੇ ਇੱਕੋ ਸਮੇਂ ਚੱਲਦਾ ਹੈ।

ਗੂਗਲ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ ਪ੍ਰਭਾਵਿਤ ਟੀਵੀ ਮਾਡਲ ਪਲੇ ਪ੍ਰੋਟੈਕਟ-ਪ੍ਰਮਾਣਿਤ ਐਂਡਰਾਇਡ ਡਿਵਾਈਸ ਨਹੀਂ ਸਨ ਅਤੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਐਂਡਰਾਇਡ ਓਪਨ ਸੋਰਸ ਪ੍ਰੋਜੈਕਟ (AOSP) ਰਿਪੋਜ਼ਟਰੀ ਤੋਂ ਸਰੋਤ ਕੋਡ ਵਰਤੇ ਗਏ ਸਨ।

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਐਂਡਰਾਇਡ ਫਾਈਲਾਂ ਨੂੰ ਸੋਧਿਆ ਹੈ

ਐਂਡਰੌਇਡ 8.0 ਤੋਂ ਪਹਿਲਾਂ, ਕਰੈਸ਼ਾਂ ਨੂੰ ਡੀਬੱਗਰਡ ਅਤੇ ਡੀਬੱਗਰਡ64 ਡੈਮਨ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤਾ ਜਾਂਦਾ ਸੀ, ਜਿਵੇਂ ਕਿ ਗੂਗਲ ਦੇ ਐਂਡਰੌਇਡ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਨੋਟ ਕੀਤਾ ਗਿਆ ਹੈ। Android 8.0 ਦੇ ਨਾਲ ਸ਼ੁਰੂ ਕਰਦੇ ਹੋਏ, 'crash_dump32' ਅਤੇ 'crash_dump64' ਮੰਗ 'ਤੇ ਪੈਦਾ ਕੀਤੇ ਗਏ ਹਨ।

ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ, ਦੋ ਫਾਈਲਾਂ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਐਂਡਰੌਇਡ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦਾ ਹਿੱਸਾ ਹੁੰਦੀਆਂ ਹਨ - install-recovery.sh ਅਤੇ daemonsu - ਨੂੰ 'wd' ਮੋਡੀਊਲ ਲਾਂਚ ਕਰਕੇ ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਬਦਲਿਆ ਗਿਆ ਸੀ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸੁਝਾਅ ਦਿੱਤਾ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਲੇਖਕਾਂ ਨੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇਸਦੇ ਇੱਕ ਹਿੱਸੇ ਨੂੰ ਸਿਸਟਮ ਪ੍ਰੋਗਰਾਮ '/system/bin/vold' ਦੇ ਰੂਪ ਵਿੱਚ 'vo1d' ਨਾਮ ਦੇ ਕੇ, ਛੋਟੇ ਅੱਖਰ 'l' ਨੂੰ ਨੰਬਰ '1' ਨਾਲ ਬਦਲ ਕੇ ਸਮਾਨ ਬਣਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਹੈ। ਦਿੱਖ

'vo1d' ਪੇਲੋਡ 'wd' ਮੋਡੀਊਲ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ ਅਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਕਿਰਿਆਸ਼ੀਲ ਰਹੇ, ਜਦੋਂ ਕਿ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ 'ਤੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਕਿਸੇ ਵੀ ਏਪੀਕੇ ਫਾਈਲਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ, ਖਾਸ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ.

ਬਦਕਿਸਮਤੀ ਨਾਲ, ਬਜਟ ਡਿਵਾਈਸ ਨਿਰਮਾਤਾਵਾਂ ਲਈ ਪੁਰਾਣੇ OS ਸੰਸਕਰਣਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਅਸਾਧਾਰਨ ਨਹੀਂ ਹੈ ਅਤੇ ਉਹਨਾਂ ਦੇ ਉਤਪਾਦਾਂ ਨੂੰ ਵਧੇਰੇ ਆਕਰਸ਼ਕ ਬਣਾਉਣ ਲਈ ਉਹਨਾਂ ਨੂੰ ਹੋਰ ਹਾਲੀਆ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਰਕੀਟ ਕਰਨਾ ਹੈ।