Grėsmių veikėjai užkrėtė daugiau nei 1,3 milijono TV srautinio perdavimo dėžučių, kuriose veikia „Android“, nauja Vo1d užpakalinių durų kenkėjiška programa, leidžiančia užpuolikams visiškai valdyti įrenginius.
„Android Open Source Project“ (AOSP) yra „Google“ vadovaujama atvirojo kodo operacinė sistema, kurią galima naudoti mobiliuosiuose, srautinio perdavimo ir daiktų interneto įrenginiuose.
Naujoje Dr.Web ataskaitoje mokslininkai aptiko 1,3 milijono įrenginių, užkrėstų Vo1d kenkėjiška programa daugiau nei 200 šalių, o daugiausiai aptikta Brazilijoje, Maroke, Pakistane, Saudo Arabijoje, Rusijoje, Argentinoje, Ekvadore, Tunise, Malaizijoje ir Alžyre. , ir Indonezija.
Šioje kenkėjiškų programų kampanijoje nustatyta „Android“ programinė įranga:
- Android 7.1.2; R4 Build/NHG47K
- Android 12.1; TV BOX Build/NHG47K
- Android 10.1; KJ-SMART4KVIP Build/NHG47K
Atsižvelgiant į įdiegtos Vo1d kenkėjiškos programos versiją, kampanija pakeis install-recovery.sh
, daemonsu
arba pakeiskite debuggerd
operacinės sistemos failai, kurie visi yra paleisties scenarijai, dažniausiai randami „Android“.
Kenkėjiškų programų kampanija naudoja šiuos scenarijus, kad išliktų ir paleistų Vo1d kenkėjišką programą.
Pati Vo1d kenkėjiška programa yra failuose wd
ir vo1d
kurios vardu pavadinta kenkėjiška programa.
„Android. Vo1d pagrindinės funkcijos yra paslėptos vo1d (Android.Vo1d.1) ir wd (Android.Vo1d.3) komponentuose, kurie veikia kartu“, – aiškina Dr.Web.
„Android.Vo1d.1 modulis yra atsakingas už Android. Vo1d.3 paleidimas ir valdymas, jei reikia, iš naujo paleidžiamas procesas. Be to, jis gali atsisiųsti ir paleisti vykdomuosius failus, kai C&C serveris liepia tai padaryti.”
„Savo ruožtu Android.Vo1d.3 modulis įdiegia ir paleidžia Android.Vo1d.5 demoną, kuris yra užšifruotas ir saugomas jo korpuse. Šis modulis taip pat gali atsisiųsti ir paleisti vykdomuosius failus. Be to, jis stebi nurodytus katalogus ir įdiegia APK failus. kad juose randa“.
Nors „Dr.Web“ nežino, kaip pažeidžiami „Android“ srautinio perdavimo įrenginiai, mokslininkai mano, kad jie yra nukreipti, nes dažniausiai naudoja pasenusią programinę įrangą su pažeidžiamumu.
„Vienas iš galimų infekcijos vektorių gali būti tarpinės kenkėjiškos programos, kuri išnaudoja operacinės sistemos spragas, kad įgytų root teises, ataka“, – daro išvadą Dr.Web.
„Kitas galimas vektorius galėtų būti neoficialių programinės aparatinės įrangos versijų su integruota root prieiga naudojimas.
Norint išvengti šios kenkėjiškos programos užkrėtimo, „Android“ naudotojams patariama patikrinti ir įdiegti naujus programinės aparatinės įrangos naujinimus, kai tik jie bus pasiekiami. Taip pat būtinai pašalinkite šias dėžutes iš interneto, jei jos būtų nuotoliniu būdu išnaudojamos per atviras paslaugas.
Paskutinis, bet ne mažiau svarbus dalykas, venkite įdiegti „Android“ programas kaip APK iš trečiųjų šalių svetainių „Android“, nes jos yra dažnas kenkėjiškų programų šaltinis.
Vo1d kenkėjiškų programų kampanijos IOC sąrašą galite rasti Dr. Web GitHub puslapyje.
Atnaujinimas 9/12/24: „Google“ pranešė „BleepingComputer“, kad užkrėstuose įrenginiuose neveikia „Android TV“, o naudojami „Android Open Source Project“ (AOSP).
„Šie užkrėsti ne prekės ženklo įrenginiai nebuvo „Play Protect“ sertifikuoti „Android“ įrenginiai. Jei įrenginys nėra „Play Protect“ sertifikuotas, „Google“ neturi saugos ir suderinamumo bandymų rezultatų įrašų. „Play Protect“ sertifikuoti „Android“ įrenginiai yra kruopščiai testuojami. Kad būtų užtikrinta kokybė ir naudotojų saugumas, kad galėtumėte patvirtinti, ar įrenginys sukurtas naudojant „Android TV“ OS ir „Play Protect“, mūsų „Android TV“ svetainėje pateikiamas naujausias partnerių sąrašas. Taip pat galite atlikti šiuos veiksmus patikrinkite, ar jūsų įrenginys yra sertifikuotas „Play Protect“. – „Google“ atstovas spaudai.
Straipsnis buvo atnaujintas, kad atspindėtų, kad jie neveikia „Android TV“, kurį naudoja tik „Google“ ir jos licencijuoti partneriai.
Atnaujinimas 9/12/24 Pridėta papildomos informacijos iš „Google“.