Phần mềm độc hại Vo1d mới lây nhiễm 1,3 triệu TV Boxes chạy Android trên toàn thế giới

Phần mềm độc hại Vo1d mới lây nhiễm 1,3 triệu TV Boxes chạy Android trên toàn thế giới

Gần 1,3 triệu TV Boxes chạy Android chạy các phiên bản hệ điều hành lỗi thời và thuộc về người dùng ở 197 quốc gia đã bị nhiễm một phần mềm độc hại mới có tên là Vo1d (hay còn gọi là Void).

Gần 1,3 triệu TV Boxes chạy Android chạy các phiên bản hệ điều hành lỗi thời và thuộc về người dùng ở 197 quốc gia đã bị nhiễm một phần mềm độc hại mới có tên là Vo1d (hay còn gọi là Void).

"Đây là một cửa hậu đặt các thành phần của nó vào vùng lưu trữ hệ thống và khi được kẻ tấn công ra lệnh, có khả năng bí mật tải xuống và cài đặt phần mềm của bên thứ ba", nhà cung cấp phần mềm diệt vi-rút của Nga Chuyên gia bảo mật  cho biết trong một báo cáo được công bố hôm nay.

Phần lớn các vụ nhiễm đã được phát hiện ở Brazil, Morocco, Pakistan, Ả Rập Xê Út, Argentina, Nga, Tunisia, Ecuador, Malaysia, Algeria và Indonesia.

Hiện tại vẫn chưa biết nguồn gốc của vụ nhiễm là gì, mặc dù người ta nghi ngờ rằng có thể liên quan đến một trường hợp xâm phạm trước đó cho phép giành được quyền root hoặc sử dụng các phiên bản chương trình cơ sở không chính thức có quyền truy cập root tích hợp.

Các mẫu TV sau đây đã bị nhắm mục tiêu như một phần của chiến dịch -

  • KJ-SMART4KVIP (Android 10.1; Bản dựng KJ-SMART4KVIP/NHG47K)
  • R4 (Android 7.1.2; Bản dựng R4/NHG47K)
  • TV BOX (Android 12.1; Bản dựng TV BOX/NHG47K)

Cuộc tấn công bao gồm việc thay thế tệp daemon "/system/bin/debuggerd" (với tệp gốc được chuyển đến tệp sao lưu có tên "debuggerd_real"), cũng như giới thiệu hai tệp mới - "/system/xbin/vo1d" và "/system/xbin/wd" - chứa mã độc và hoạt động đồng thời.

"Trước Android 8.0, sự cố được xử lý bởi daemon debuggerd và debuggerd64", Google lưu ý trong tài liệu Android của mình. "Trong Android 8.0 trở lên, crash_dump32 và crash_dump64 được tạo ra khi cần thiết".

Hai tệp khác nhau được chuyển đi như một phần của hệ điều hành Android – install-recovery.sh và daemonsu – đã được sửa đổi như một phần của chiến dịch nhằm kích hoạt việc thực thi phần mềm độc hại bằng cách khởi động mô-đun "wd".

"Những tác giả của trojan có thể đã cố gắng ngụy trang một trong những thành phần của nó thành chương trình hệ thống '/system/bin/vold', gọi nó bằng cái tên tương tự là 'vo1d' (thay thế chữ thường 'l' bằng số '1')", Chuyên gia bảo mật cho biết.

Tải trọng "vo1d", đến lượt nó, khởi động "wd" và đảm bảo nó liên tục chạy, đồng thời tải xuống và chạy các tệp thực thi khi được máy chủ chỉ huy và điều khiển (C2) hướng dẫn. Hơn nữa, nó theo dõi các thư mục được chỉ định và cài đặt các tệp APK mà nó tìm thấy trong đó.

"Thật không may, không có gì lạ khi các nhà sản xuất thiết bị giá rẻ sử dụng các phiên bản hệ điều hành cũ hơn và coi chúng là những phiên bản mới hơn để khiến chúng hấp dẫn hơn", công ty cho biết.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Hướng dẫn cài đặt Kaspersky Safe Kids For Android với Kaspersky-Safe-Kids.Apk

Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...

Chi tiết
Standard Post with Image

Hướng dẫn cài đặt Kaspersky For Android với Kaspersky.Apk

Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...

Chi tiết
Standard Post with Image

Tại sao không tìm thấy các sản phẩm của Kaspersky trên Google Play?

Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...

Chi tiết