Phần mềm độc hại Vo1d mới lây nhiễm 1,3 triệu TV Boxes chạy Android trên toàn thế giới
Gần 1,3 triệu TV Boxes chạy Android chạy các phiên bản hệ điều hành lỗi thời và thuộc về người dùng ở 197 quốc gia đã bị nhiễm một phần mềm độc hại mới có tên là Vo1d (hay còn gọi là Void).
"Đây là một cửa hậu đặt các thành phần của nó vào vùng lưu trữ hệ thống và khi được kẻ tấn công ra lệnh, có khả năng bí mật tải xuống và cài đặt phần mềm của bên thứ ba", nhà cung cấp phần mềm diệt vi-rút của Nga Chuyên gia bảo mật cho biết trong một báo cáo được công bố hôm nay.
Phần lớn các vụ nhiễm đã được phát hiện ở Brazil, Morocco, Pakistan, Ả Rập Xê Út, Argentina, Nga, Tunisia, Ecuador, Malaysia, Algeria và Indonesia.
Hiện tại vẫn chưa biết nguồn gốc của vụ nhiễm là gì, mặc dù người ta nghi ngờ rằng có thể liên quan đến một trường hợp xâm phạm trước đó cho phép giành được quyền root hoặc sử dụng các phiên bản chương trình cơ sở không chính thức có quyền truy cập root tích hợp.
Các mẫu TV sau đây đã bị nhắm mục tiêu như một phần của chiến dịch -
- KJ-SMART4KVIP (Android 10.1; Bản dựng KJ-SMART4KVIP/NHG47K)
- R4 (Android 7.1.2; Bản dựng R4/NHG47K)
- TV BOX (Android 12.1; Bản dựng TV BOX/NHG47K)
Cuộc tấn công bao gồm việc thay thế tệp daemon "/system/bin/debuggerd" (với tệp gốc được chuyển đến tệp sao lưu có tên "debuggerd_real"), cũng như giới thiệu hai tệp mới - "/system/xbin/vo1d" và "/system/xbin/wd" - chứa mã độc và hoạt động đồng thời.
"Trước Android 8.0, sự cố được xử lý bởi daemon debuggerd và debuggerd64", Google lưu ý trong tài liệu Android của mình. "Trong Android 8.0 trở lên, crash_dump32 và crash_dump64 được tạo ra khi cần thiết".
Hai tệp khác nhau được chuyển đi như một phần của hệ điều hành Android – install-recovery.sh và daemonsu – đã được sửa đổi như một phần của chiến dịch nhằm kích hoạt việc thực thi phần mềm độc hại bằng cách khởi động mô-đun "wd".
"Những tác giả của trojan có thể đã cố gắng ngụy trang một trong những thành phần của nó thành chương trình hệ thống '/system/bin/vold', gọi nó bằng cái tên tương tự là 'vo1d' (thay thế chữ thường 'l' bằng số '1')", Chuyên gia bảo mật cho biết.
Tải trọng "vo1d", đến lượt nó, khởi động "wd" và đảm bảo nó liên tục chạy, đồng thời tải xuống và chạy các tệp thực thi khi được máy chủ chỉ huy và điều khiển (C2) hướng dẫn. Hơn nữa, nó theo dõi các thư mục được chỉ định và cài đặt các tệp APK mà nó tìm thấy trong đó.
"Thật không may, không có gì lạ khi các nhà sản xuất thiết bị giá rẻ sử dụng các phiên bản hệ điều hành cũ hơn và coi chúng là những phiên bản mới hơn để khiến chúng hấp dẫn hơn", công ty cho biết.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Các cuộc tấn công ransomware tiếp tục nh...
Các mối đe dọa an ninh mạng tại Việt Nam...
Nhóm tin tặc Lazarus khai thác lỗ hổng z...
Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...
Chiến dịch quảng cáo độc hại chiếm đoạt ...
Nghiên cứu mới tiết lộ lỗ hổng Spectre v...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Nhóm tin tặc Lazarus khai thác lỗ hổng zero-day tr...
- Cách xóa người, đối tượng, vật thể không mong muốn...
- Thông báo thời gian kì nghỉ công ty năm 2024
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Hướng dẫn cài đặt và kích hoạt Kaspersky for Windo...