Android.Vo1d 惡意軟體
大約 130 萬台運行過時系統版本並在 197 個國家/地區使用的基於 Android 的電視盒已受到新發現的名為 Vo1d(也稱為 Void)的惡意軟體的危害。該後門惡意軟體將其元件嵌入系統儲存中,在收到攻擊者的命令後可以秘密下載和安裝第三方應用程式。
大多數感染病例已在巴西、摩洛哥、巴基斯坦、沙烏地阿拉伯、阿根廷、俄羅斯、突尼斯、厄瓜多、馬來西亞、阿爾及利亞和印尼發現。
Vo1d 攻擊針對多個設備
感染的確切來源尚不清楚。儘管如此,它仍然被懷疑源自於先前的妥協,允許攻擊者獲得root權限或使用具有內建root存取權限的非官方韌體版本。
此活動針對以下電視型號:
- KJ-SMART4KVIP(Android 10.1;KJ-SMART4KVIP 建置/NHG47K)
- R4(Android 7.1.2;R4 內部版本/NHG47K)
- 電視盒(Android 12.1;電視盒版本/NHG47K)
此攻擊涉及取代「/system/bin/debuggerd」守護程式檔案(將原始檔案重新命名為「debuggerd_real」作為備份)並新增兩個新檔案:「/system/xbin/vo1d」和「/system/xbin/ 」西德。這些文件包含詐欺代碼並同時運行。
谷歌指出,受影響的電視型號不是經過 Play Protect 認證的 Android 設備,並且可能使用了 Android 開源專案 (AOSP) 儲存庫中的原始程式碼。
網路犯罪分子修改 Android 檔案以傳播惡意軟體
在 Android 8.0 之前,當機由 debuggerd 和 debuggerd64 守護程式管理,如 Google 的 Android 文件所述。從 Android 8.0 開始,「crash_dump32」和「crash_dump64」按需產生。
作為惡意軟體活動的一部分,通常屬於 Android 作業系統一部分的兩個檔案 – install-recovery.sh 和 daemonsu – 被更改為透過啟動「wd」模組來執行惡意軟體。
網路安全研究人員認為,惡意軟體作者可能試圖透過將其組件之一命名為“vo1d”,將其組件之一偽裝為系統程式“/system/bin/vold”,並將小寫字母“l”替換為數字“1”,以創建類似的程序。
「vo1d」有效負載啟動「wd」模組並確保其保持活動狀態,同時在從命令和控制 (C2) 伺服器接收命令時下載並執行可執行檔。此外,它還監視特定目錄,安裝它找到的任何 APK 檔案。
不幸的是,預算設備製造商使用過時的作業系統版本並以更新的版本進行行銷以使他們的產品看起來更具吸引力的情況並不罕見。