Phần mềm độc hại Vo1d mới lây nhiễm 1,3 triệu TV Boxes chạy Android trên toàn thế giới

www.tuoitre.vn -   06/09/2024 08:00:00 55

Gần 1,3 triệu TV Boxes chạy Android chạy các phiên bản hệ điều hành lỗi thời và thuộc về người dùng ở 197 quốc gia đã bị nhiễm một phần mềm độc hại mới có tên là Vo1d (hay còn gọi là Void).

Gần 1,3 triệu TV Boxes chạy Android chạy các phiên bản hệ điều hành lỗi thời và thuộc về người dùng ở 197 quốc gia đã bị nhiễm một phần mềm độc hại mới có tên là Vo1d (hay còn gọi là Void).

"Đây là một cửa hậu đặt các thành phần của nó vào vùng lưu trữ hệ thống và khi được kẻ tấn công ra lệnh, có khả năng bí mật tải xuống và cài đặt phần mềm của bên thứ ba", nhà cung cấp phần mềm diệt vi-rút của Nga Chuyên gia bảo mật  cho biết trong một báo cáo được công bố hôm nay.

Phần lớn các vụ nhiễm đã được phát hiện ở Brazil, Morocco, Pakistan, Ả Rập Xê Út, Argentina, Nga, Tunisia, Ecuador, Malaysia, Algeria và Indonesia.

Hiện tại vẫn chưa biết nguồn gốc của vụ nhiễm là gì, mặc dù người ta nghi ngờ rằng có thể liên quan đến một trường hợp xâm phạm trước đó cho phép giành được quyền root hoặc sử dụng các phiên bản chương trình cơ sở không chính thức có quyền truy cập root tích hợp.

Các mẫu TV sau đây đã bị nhắm mục tiêu như một phần của chiến dịch -

  • KJ-SMART4KVIP (Android 10.1; Bản dựng KJ-SMART4KVIP/NHG47K)
  • R4 (Android 7.1.2; Bản dựng R4/NHG47K)
  • TV BOX (Android 12.1; Bản dựng TV BOX/NHG47K)

Cuộc tấn công bao gồm việc thay thế tệp daemon "/system/bin/debuggerd" (với tệp gốc được chuyển đến tệp sao lưu có tên "debuggerd_real"), cũng như giới thiệu hai tệp mới - "/system/xbin/vo1d" và "/system/xbin/wd" - chứa mã độc và hoạt động đồng thời.

"Trước Android 8.0, sự cố được xử lý bởi daemon debuggerd và debuggerd64", Google lưu ý trong tài liệu Android của mình. "Trong Android 8.0 trở lên, crash_dump32 và crash_dump64 được tạo ra khi cần thiết".

Hai tệp khác nhau được chuyển đi như một phần của hệ điều hành Android – install-recovery.sh và daemonsu – đã được sửa đổi như một phần của chiến dịch nhằm kích hoạt việc thực thi phần mềm độc hại bằng cách khởi động mô-đun "wd".

"Những tác giả của trojan có thể đã cố gắng ngụy trang một trong những thành phần của nó thành chương trình hệ thống '/system/bin/vold', gọi nó bằng cái tên tương tự là 'vo1d' (thay thế chữ thường 'l' bằng số '1')", Chuyên gia bảo mật cho biết.

Tải trọng "vo1d", đến lượt nó, khởi động "wd" và đảm bảo nó liên tục chạy, đồng thời tải xuống và chạy các tệp thực thi khi được máy chủ chỉ huy và điều khiển (C2) hướng dẫn. Hơn nữa, nó theo dõi các thư mục được chỉ định và cài đặt các tệp APK mà nó tìm thấy trong đó.

"Thật không may, không có gì lạ khi các nhà sản xuất thiết bị giá rẻ sử dụng các phiên bản hệ điều hành cũ hơn và coi chúng là những phiên bản mới hơn để khiến chúng hấp dẫn hơn", công ty cho biết.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Các cuộc tấn công ransomware tiếp tục nh...

21/11/2024 08:00:00 362
Từ tháng 1 đến tháng 6 năm 2024, các giải pháp an ninh mạng cho doanh nghiệp của Kaspersky đã phát h...

Các mối đe dọa an ninh mạng tại Việt Nam...

20/11/2024 08:00:00 385
Dữ liệu mới nhất từ Kaspersky đã gióng lên hồi chuông cảnh báo về tình hình an ninh mạng Việt Nam. C...

Nhóm tin tặc Lazarus khai thác lỗ hổng z...

07/11/2024 08:00:00 331
Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 diễn ra ở Bali, nhóm Phân tích và Nghiên c...

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 89
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 85
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 88
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button