Android.Vo1d మాల్వేర్

దాదాపు 1.3 మిలియన్ ఆండ్రాయిడ్-ఆధారిత టీవీ బాక్స్‌లు, పాత సిస్టమ్ వెర్షన్‌లలో పనిచేస్తాయి మరియు 197 దేశాలలో ఉపయోగించబడుతున్నాయి, కొత్తగా కనుగొనబడిన Vo1d (దీనినే శూన్యం అని కూడా పిలుస్తారు) అనే మాల్వేర్ ద్వారా రాజీ పడింది. ఈ బ్యాక్‌డోర్ మాల్వేర్ దాని భాగాలను సిస్టమ్ స్టోరేజ్‌లో పొందుపరుస్తుంది మరియు దాడి చేసేవారి నుండి ఆదేశాలను స్వీకరించిన తర్వాత రహస్యంగా థర్డ్-పార్టీ అప్లికేషన్‌లను డౌన్‌లోడ్ చేసి ఇన్‌స్టాల్ చేయగలదు.

బ్రెజిల్, మొరాకో, పాకిస్థాన్, సౌదీ అరేబియా, అర్జెంటీనా, రష్యా, ట్యునీషియా, ఈక్వెడార్, మలేషియా, అల్జీరియా మరియు ఇండోనేషియాలో చాలా ఇన్ఫెక్షన్లు గుర్తించబడ్డాయి.

Vo1d దాడి ద్వారా లక్ష్యంగా చేసుకున్న బహుళ పరికరాలు

సంక్రమణ యొక్క ఖచ్చితమైన మూలం అస్పష్టంగానే ఉంది. అయినప్పటికీ, దాడి చేసేవారు రూట్ అధికారాలను పొందేందుకు లేదా అంతర్నిర్మిత రూట్ యాక్సెస్‌తో అనధికారిక ఫర్మ్‌వేర్ వెర్షన్‌ల వినియోగాన్ని అనుమతించే ముందస్తు రాజీ నుండి ఇది ఉత్పన్నమవుతుందని అనుమానిస్తున్నారు.

ఈ ప్రచారంలో క్రింది TV మోడల్‌లు లక్ష్యంగా చేయబడ్డాయి:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP బిల్డ్/NHG47K)
• R4 (Android 7.1.2; R4 బిల్డ్/NHG47K)
• TV బాక్స్ (Android 12.1; TV BOX బిల్డ్/NHG47K)

దాడిలో '/సిస్టమ్/బిన్/డీబగ్గర్డ్' డెమోన్ ఫైల్‌ను భర్తీ చేయడం జరుగుతుంది (అసలు ఫైల్ బ్యాకప్‌గా 'డీబగ్గర్డ్_రియల్'గా పేరు మార్చబడింది) మరియు రెండు కొత్త ఫైల్‌లను జోడించడం: '/system/xbin/vo1d' మరియు '/system/xbin/ wd.' ఈ ఫైల్‌లు మోసపూరిత కోడ్‌ను కలిగి ఉంటాయి మరియు ఏకకాలంలో అమలు చేయబడతాయి.

ప్రభావిత TV మోడల్‌లు Play Protect-సర్టిఫైడ్ Android పరికరాలు కాదని మరియు Android ఓపెన్ సోర్స్ ప్రాజెక్ట్ (AOSP) రిపోజిటరీ నుండి సోర్స్ కోడ్‌ని ఉపయోగించవచ్చని Google పేర్కొంది.

మాల్‌వేర్‌ను అందించడానికి సైబర్ నేరగాళ్లు ఆండ్రాయిడ్ ఫైల్‌లను సవరించారు

ఆండ్రాయిడ్ 8.0కి ముందు, Google యొక్క ఆండ్రాయిడ్ డాక్యుమెంటేషన్‌లో పేర్కొన్న విధంగా డీబగ్గర్డ్ మరియు డీబగ్గర్డ్64 డెమోన్‌ల ద్వారా క్రాష్‌లు నిర్వహించబడ్డాయి. ఆండ్రాయిడ్ 8.0తో ప్రారంభించి, 'crash_dump32' మరియు 'crash_dump64' డిమాండ్‌పై పుట్టుకొచ్చాయి.

మాల్వేర్ ప్రచారంలో భాగంగా, సాధారణంగా Android ఆపరేటింగ్ సిస్టమ్‌లో భాగమైన రెండు ఫైల్‌లు - install-recovery.sh మరియు డెమోన్సు - 'wd' మాడ్యూల్‌ను ప్రారంభించడం ద్వారా మాల్వేర్‌ను అమలు చేయడానికి మార్చబడ్డాయి.

మాల్వేర్ రచయితలు 'vo1d' అని పేరు పెట్టడం ద్వారా '/system/bin/vold' అనే సిస్టమ్ ప్రోగ్రామ్‌గా దాని భాగాలలో ఒకదానిని మరుగుపరచడానికి ప్రయత్నించారని సైబర్‌ సెక్యూరిటీ పరిశోధకులు సూచిస్తున్నారు, చిన్న అక్షరం 'l' స్థానంలో '1' సంఖ్యతో సారూప్యతను సృష్టించారు. ప్రదర్శన.

'vo1d' పేలోడ్ 'wd' మాడ్యూల్‌ను ప్రారంభిస్తుంది మరియు అది సక్రియంగా ఉందని నిర్ధారిస్తుంది, అదే సమయంలో కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి ఆదేశాలను స్వీకరించిన తర్వాత ఎక్జిక్యూటబుల్‌లను డౌన్‌లోడ్ చేస్తుంది మరియు అమలు చేస్తుంది. అదనంగా, ఇది నిర్దిష్ట డైరెక్టరీలను పర్యవేక్షిస్తుంది, అది కనుగొన్న ఏదైనా APK ఫైల్‌లను ఇన్‌స్టాల్ చేస్తుంది.

దురదృష్టవశాత్తూ, బడ్జెట్ పరికర తయారీదారులు కాలం చెల్లిన OS సంస్కరణలను ఉపయోగించడం మరియు వారి ఉత్పత్తులను మరింత ఆకర్షణీయంగా కనిపించేలా చేయడానికి వాటిని ఇటీవలివిగా మార్కెట్ చేయడం అసాధారణం కాదు.