Android.Vo1d Malware

Përafërsisht 1.3 milionë kuti televizive të bazuara në Android, që funksionojnë në versione të sistemit të vjetëruar dhe të përdorura në 197 vende, janë komprometuar nga një malware i sapo zbuluar i quajtur Vo1d (i njohur gjithashtu si Void). Ky malware me dyer të pasme fut përbërësit e tij në ruajtjen e sistemit dhe mund të shkarkojë dhe instalojë fshehurazi aplikacione të palëve të treta pas marrjes së komandave nga sulmuesit.

Shumica e infeksioneve janë identifikuar në Brazil, Marok, Pakistan, Arabinë Saudite, Argjentinë, Rusi, Tunizi, Ekuador, Malajzi, Algjeri dhe Indonezi.

Pajisjet e shumta të synuara nga sulmi Vo1d

Burimi i saktë i infeksionit mbetet i paqartë. Megjithatë, dyshohet se rrjedh ose nga një kompromis i mëparshëm që i lejoi sulmuesit të fitonin privilegje rrënjësore ose nga përdorimi i versioneve jozyrtare të firmuerit me akses të integruar në rrënjë.

Modelet e mëposhtme televizive janë synuar në këtë fushatë:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Sulmi përfshin zëvendësimin e skedarit daemon '/system/bin/debuggerd' (skedari origjinal është riemërtuar në 'debuggerd_real' si rezervë) dhe shtimi i dy skedarëve të rinj: '/system/xbin/vo1d' dhe '/system/xbin/ wd.' Këta skedarë përmbajnë kodin mashtrues dhe funksionojnë njëkohësisht.

Google vuri në dukje se modelet e televizorit të prekur nuk ishin pajisje Android të certifikuara nga Play Protect dhe me gjasë përdornin kodin burimor nga depoja e projektit me burim të hapur Android (AOSP).

Kriminelët kibernetikë modifikuan skedarët Android për të ofruar malware

Përpara Android 8.0, përplasjet menaxhoheshin nga demonët e debugger dhe debuggerd64, siç vërehet në dokumentacionin Android të Google. Duke filluar me Android 8.0, 'crash_dump32' dhe 'crash_dump64' krijohen sipas kërkesës.

Si pjesë e fushatës së malware, dy skedarë që zakonisht janë pjesë e sistemit operativ Android - install-recovery.sh dhe daemonsu - u ndryshuan për të ekzekutuar malware duke nisur modulin 'wd'.

Studiuesit e sigurisë kibernetike sugjerojnë se autorët e malware ka të ngjarë të tentojnë të maskojnë një nga komponentët e tij si programin e sistemit '/system/bin/vold' duke e emërtuar atë 'vo1d', duke zëvendësuar shkronjat e vogla 'l' me numrin '1' për të krijuar një të ngjashëm. pamjen.

Ngarkesa 'vo1d' fillon modulin 'wd' dhe sigurohet që ai të mbetet aktiv, ndërkohë që shkarkon dhe ekzekuton gjithashtu ekzekutuesit me marrjen e komandave nga një server komanda dhe kontrolli (C2). Për më tepër, ai monitoron drejtoritë specifike, duke instaluar çdo skedar APK që gjen.

Fatkeqësisht, nuk është e pazakontë që prodhuesit e pajisjeve buxhetore të përdorin versione të vjetëruara të OS dhe t'i tregtojnë ato si më të reja për t'i bërë produktet e tyre të duken më tërheqëse.