新型 Vo1d 恶意软件感染了 130 万个 Android 流媒体盒
2024-9-13 18:30:40 Author: www.4hou.com(查看原文) 阅读量:4 收藏

胡金鱼 新闻 刚刚发布

2257

收藏

导语:为了防止感染此恶意软件,建议 Android 用户在有新固件更新时检查并安装。

Android 开源项目 (AOSP) 是由 Google 领导的开源操作系统,可用于移动、流媒体和物联网设备。日前,安全研究人员发现威胁者已经用一种新的 Vo1d 后门恶意软件感染了超过 130 万个运行 Android 的电视流媒体盒,从而使攻击者能够完全控制这些设备。

Dr.Web 在一份新报告中表示,研究人员发现,超过 200 个国家/地区有 130 万台设备感染了 Vo1d 恶意软件,其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚等国感染数量最多。

vo1d-malware-heatmap.webp.png

受 Vo1d 感染的电视盒的地理分布

此次恶意软件活动所针对的 Android 固件包括:

·Android 7.1.2;

·R4 构建/NHG47K Android 12.1;

·电视盒构建/NHG47K Android 10.1;

·KJ-SMART4KVIP 构建/NHG47K。

根据安装的 Vo1d 恶意软件的版本,该活动将修改 install-recovery.sh、daemonsu,或替换 debuggerd 操作系统文件,这些都是 Android 中常见的启动脚本。

install-recovery_sh-file.webp.png

修改 install-recovery.sh 文件

恶意软件活动使用这些脚本来保持持久性并在启动时启动 Vo1d 恶意软件。

Vo1d 恶意软件本身位于 wd 和 vo1d 文件中,该恶意软件以这两个文件命名。Android.Vo1d 的主要功能隐藏在其 vo1d(Android.Vo1d.1)和 wd(Android.Vo1d.3)组件中,这两个组件协同运行。

Android.Vo1d.1 模块负责 Android.Vo1d.3 的启动并控制其活动,必要时重新启动其进程。此外,它还可以在 C&C 服务器发出命令时下载并运行可执行文件。反过来,Android.Vo1d.3 模块会安装并启动加密并存储在其主体中的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外,它还会监视指定目录并安装在其中找到的 APK 文件。

虽然 Dr.Web 不知道 Android 流媒体设备是如何受到攻击的,但研究人员认为它们之所以成为攻击目标,是因为它们通常运行会存在漏洞的过时软件。

Dr.Web 总结道:“一种可能的感染媒介可能是利用操作系统漏洞获取 root 权限的中间恶意软件的攻击。另一种可能的媒介可能是使用内置 root 访问权限的非官方固件版本。”

为了防止感染此恶意软件,建议 Android 用户在有新固件更新时检查并安装。此外,请务必从互联网上删除这些盒子,以防它们通过暴露的服务被远程利用。同样重要的是,避免在 Android 上安装来自第三方网站的 Android 应用程序作为 APK,因为它们是恶意软件的常见来源。

9月12号最新公告表示,受感染的设备并未运行 Android TV,而是使用 Android 开放源代码项目 (AOSP)。

Google 发言人表示:“这些被发现感染的杂牌设备不是经过 Play Protect 认证的 Android 设备。如果设备未通过 Play Protect 认证,Google 就没有安全性和兼容性测试结果记录。”

目前经过 Play Protect 认证的 Android 设备已经经过测试,可确保质量和用户安全。为了用户确认设备是否采用 Android TV 操作系统和经过 Play Protect 认证, Android TV 网站提供了最新的合作伙伴列表,用户可以按照相应步骤检查设备是否经过 Play Protect 认证。

文章翻译自:https://www.bleepingcomputer.com/news/security/new-vo1d-malware-infects-13-million-android-streaming-boxes/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/zA7r
如有侵权请联系:admin#unsafe.sh