Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate Programe malware Android.Vo1d

Programe malware Android.Vo1d

Până în Mezo în Ușile din spate, troieni
Tradu in:
Română

Aproximativ 1,3 milioane de televizoare bazate pe Android, care funcționează pe versiuni de sistem învechite și utilizate în 197 de țări, au fost compromise de un program malware recent descoperit, numit Vo1d (cunoscut și ca Void). Acest malware backdoor își încorporează componentele în stocarea sistemului și poate descărca și instala în mod ascuns aplicații terțe la primirea comenzilor de la atacatori.

Cele mai multe infecții au fost identificate în Brazilia, Maroc, Pakistan, Arabia Saudită, Argentina, Rusia, Tunisia, Ecuador, Malaezia, Algeria și Indonezia.

Dispozitive multiple vizate de atacul Vo1d

Sursa exactă a infecției rămâne neclară. Totuși, se suspectează că provine fie dintr-un compromis anterior care a permis atacatorilor să obțină privilegii de root, fie din utilizarea versiunilor de firmware neoficiale cu acces root încorporat.

Următoarele modele TV au fost vizate în această campanie:

  • KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
  • R4 (Android 7.1.2; R4 Build/NHG47K)
  • TV BOX (Android 12.1; TV BOX Build/NHG47K)

Atacul implică înlocuirea fișierului demon „/system/bin/debuggerd” (fișierul original este redenumit „debuggerd_real” ca rezervă) și adăugarea a două fișiere noi: „/system/xbin/vo1d” și „/system/xbin/ wd.' Aceste fișiere conțin codul fraudulos și rulează concomitent.

Google a remarcat că modelele TV afectate nu erau dispozitive Android certificate Play Protect și probabil că foloseau cod sursă din depozitul Android Open Source Project (AOSP).

Infractorii cibernetici au modificat fișierele Android pentru a furniza programe malware

Înainte de Android 8.0, blocările erau gestionate de demonii debuggerd și debuggerd64, așa cum se menționează în documentația Google Android. Începând cu Android 8.0, „crash_dump32” și „crash_dump64” sunt generate la cerere.

Ca parte a campaniei de malware, două fișiere care fac de obicei parte din sistemul de operare Android – install-recovery.sh și daemonsu – au fost modificate pentru a executa malware prin lansarea modulului „wd”.

Cercetătorii în domeniul securității cibernetice sugerează că autorii de programe malware au încercat probabil să deghizeze una dintre componentele sale ca program de sistem „/system/bin/vold” denumindu-l „vo1d”, înlocuind literele mici „l” cu numărul „1” pentru a crea un program similar. aspect.

Sarcina utilă „vo1d” pornește modulul „wd” și se asigură că rămâne activ, în timp ce descarcă și rulează executabile la primirea comenzilor de la un server de comandă și control (C2). În plus, monitorizează anumite directoare, instalând orice fișier APK pe care le găsește.

Din păcate, nu este neobișnuit ca producătorii de dispozitive cu buget redus să folosească versiuni de SO învechite și să le comercializeze ca mai recente, pentru a face ca produsele lor să pară mai atrăgătoare.

Trending

Cele mai văzute

Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

Mesaje de avertizare false
29,261
Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
Se încarcă...