Android.Vo1d மால்வேர்

தோராயமாக 1.3 மில்லியன் ஆண்ட்ராய்டு அடிப்படையிலான டிவி பெட்டிகள், காலாவதியான சிஸ்டம் பதிப்புகளில் இயங்கி, 197 நாடுகளில் பயன்படுத்தப்படுகின்றன, புதிதாகக் கண்டுபிடிக்கப்பட்ட Vo1d (Void என்றும் அழைக்கப்படுகிறது) எனும் மால்வேர் மூலம் சமரசம் செய்யப்பட்டுள்ளது. இந்த பின்கதவு தீம்பொருள் அதன் கூறுகளை கணினி சேமிப்பகத்தில் உட்பொதிக்கிறது மற்றும் தாக்குபவர்களிடமிருந்து கட்டளைகளைப் பெறும்போது மூன்றாம் தரப்பு பயன்பாடுகளை இரகசியமாக பதிவிறக்கம் செய்து நிறுவ முடியும்.

பிரேசில், மொராக்கோ, பாகிஸ்தான், சவுதி அரேபியா, அர்ஜென்டினா, ரஷ்யா, துனிசியா, ஈக்வடார், மலேசியா, அல்ஜீரியா மற்றும் இந்தோனேசியா ஆகிய நாடுகளில் பெரும்பாலான நோய்த்தொற்றுகள் கண்டறியப்பட்டுள்ளன.

Vo1d தாக்குதலால் இலக்கு வைக்கப்பட்ட பல சாதனங்கள்

நோய்த்தொற்றின் சரியான ஆதாரம் தெளிவாக இல்லை. இருப்பினும், தாக்குபவர்கள் ரூட் சலுகைகளைப் பெற அல்லது உள்ளமைக்கப்பட்ட ரூட் அணுகலுடன் அதிகாரப்பூர்வமற்ற ஃபார்ம்வேர் பதிப்புகளைப் பயன்படுத்த அனுமதித்த ஒரு முன் சமரசத்திலிருந்து இது உருவாகியிருக்கலாம் என்று சந்தேகிக்கப்படுகிறது.

இந்த பிரச்சாரத்தில் பின்வரும் டிவி மாடல்கள் இலக்கு வைக்கப்பட்டன:

  • KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
  • R4 (Android 7.1.2; R4 Build/NHG47K)
  • டிவி பெட்டி (Android 12.1; TV BOX Build/NHG47K)

தாக்குதலானது '/system/bin/debuggerd' டீமான் கோப்பை மாற்றுவதை உள்ளடக்குகிறது (அசல் கோப்பு 'debuggerd_real' என மறுபெயரிடப்பட்டது காப்புப்பிரதியாக) மற்றும் இரண்டு புதிய கோப்புகளைச் சேர்ப்பது: '/system/xbin/vo1d' மற்றும் '/system/xbin/ wd.' இந்த கோப்புகளில் மோசடி குறியீடு உள்ளது மற்றும் ஒரே நேரத்தில் இயங்கும்.

பாதிக்கப்பட்ட டிவி மாடல்கள் Play Protect-சான்றளிக்கப்பட்ட ஆண்ட்ராய்டு சாதனங்கள் அல்ல என்றும் ஆண்ட்ராய்டு ஓப்பன் சோர்ஸ் ப்ராஜெக்ட் (AOSP) களஞ்சியத்திலிருந்து மூலக் குறியீட்டைப் பயன்படுத்தியிருக்கலாம் என்றும் கூகுள் குறிப்பிட்டது.

சைபர் கிரைமினல்கள் மால்வேரை வழங்க ஆண்ட்ராய்டு கோப்புகளை மாற்றியுள்ளனர்

ஆண்ட்ராய்டு 8.0 க்கு முன், கூகுளின் ஆண்ட்ராய்டு ஆவணத்தில் குறிப்பிடப்பட்டுள்ளபடி, பிழைத்திருத்தம் மற்றும் பிழைத்திருத்த 64 டெமான்களால் செயலிழப்புகள் நிர்வகிக்கப்பட்டன. ஆண்ட்ராய்டு 8.0 இல் தொடங்கி, 'crash_dump32' மற்றும் 'crash_dump64' ஆகியவை தேவைக்கேற்ப உருவாக்கப்படுகின்றன.

தீம்பொருள் பிரச்சாரத்தின் ஒரு பகுதியாக, பொதுவாக ஆண்ட்ராய்டு இயக்க முறைமையின் ஒரு பகுதியாக இருக்கும் இரண்டு கோப்புகள் - install-recovery.sh மற்றும் daemonsu - 'wd' தொகுதியை துவக்குவதன் மூலம் தீம்பொருளை இயக்குவதற்கு மாற்றப்பட்டது.

சைபர் பாதுகாப்பு ஆய்வாளர்கள், மால்வேர் ஆசிரியர்கள் அதன் கூறுகளில் ஒன்றை சிஸ்டம் புரோகிராம் '/system/bin/vold' என மறைக்க முயற்சித்திருக்கலாம், அதற்கு 'vo1d' என்று பெயரிட்டு, சிறிய எழுத்தான 'l' ஐ '1' என்ற எண்ணுடன் மாற்றி, இதே போன்ற ஒன்றை உருவாக்கலாம். தோற்றம்.

'vo1d' பேலோட் 'wd' மாட்யூலைத் தொடங்கி, அது செயலில் இருப்பதை உறுதிசெய்கிறது, அதே நேரத்தில் கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்திலிருந்து கட்டளைகளைப் பெறும்போது எக்ஸிகியூட்டபிள்களைப் பதிவிறக்கி இயக்குகிறது. கூடுதலாக, இது குறிப்பிட்ட கோப்பகங்களைக் கண்காணித்து, அது கண்டுபிடிக்கும் APK கோப்புகளை நிறுவுகிறது.

துரதிர்ஷ்டவசமாக, பட்ஜெட் சாதன உற்பத்தியாளர்கள் காலாவதியான OS பதிப்புகளைப் பயன்படுத்துவதும், அவற்றின் தயாரிப்புகள் மிகவும் கவர்ச்சிகரமானதாகத் தோன்றும் வகையில் அவற்றை மிகவும் சமீபத்தியதாக சந்தைப்படுத்துவதும் அசாதாரணமானது அல்ல.

டிரெண்டிங்

அதிகம் பார்க்கப்பட்டது

ஏற்றுகிறது...