Οι ερευνητές ακόμα δεν γνωρίζουν τι προκάλεσε τη μόλυνση από κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα και επηρεάζει σχεδόν 1,3 εκατομμύρια συσκευές ροής που εκτελούν το λειτουργικό σύστημα ανοιχτού κώδικα Android σε σχεδόν 200 χώρες.
Η εταιρεία ασφαλείας Dr. Web Αναφέρθηκε την Πέμπτη Το κακόβουλο λογισμικό, που ονομάζεται Android.Vo1d, ήταν σε θέση να υπονομεύσει τις συσκευές Android τοποθετώντας κακόβουλα στοιχεία στην περιοχή αποθήκευσης του συστήματος, όπου θα μπορούσαν να ενημερωθούν με πρόσθετο κακόβουλο λογισμικό ανά πάσα στιγμή μέσω διακομιστών εντολών και ελέγχου. Οι εκπρόσωποι της Google δήλωσαν ότι οι μολυσμένες συσκευές εκτελούσαν λειτουργικά συστήματα βασισμένα στο Android Open Source Project, μια έκδοση που εποπτεύεται από την Google αλλά διαφορετική από το Android TV, η οποία είναι μια ειδική έκδοση που περιορίζεται σε αδειοδοτημένους κατασκευαστές συσκευών.
Δεκάδες μεταβλητές
Αν και ο Doctor Web έχει πλήρη κατανόηση του ιού Vo1d και της εξαιρετικής εμβέλειας που έχει επιτύχει, οι ερευνητές της εταιρείας λένε ότι δεν έχουν ακόμη εντοπίσει τον φορέα επίθεσης που οδήγησε στη μόλυνση.
«Αυτή τη στιγμή, η πηγή της μόλυνσης των τηλεοπτικών θυρίδων παραμένει άγνωστη», ανέφερε η ανάρτηση της Πέμπτης. “Ένας πιθανός φορέας μόλυνσης μπορεί να είναι μια επίθεση από κακόβουλο λογισμικό μεσαίου μεγέθους που εκμεταλλεύεται τις ευπάθειες του λειτουργικού συστήματος για να αποκτήσει δικαιώματα root. Ένας άλλος πιθανός φορέας μπορεί να είναι η χρήση ανεπίσημων εκδόσεων υλικολογισμικού με ενσωματωμένη πρόσβαση root.”
Οι ακόλουθες συσκευές που έχουν μολυνθεί με τον ιό Vo1d είναι:
Μοντέλο κουτιού τηλεόρασης | Ανακοινώθηκε η έκδοση υλικολογισμικού |
---|---|
R4 | Android 7.1.2; Έκδοση R4/NHG47K |
Κουτί τηλεόρασης | Android 12.1; Έκδοση TV BOX/NHG47K |
KJ-Smart 4K VIP | Android 10.1; Έκδοση KJ-SMART4KVIP/NHG47K |
Ένας πιθανός λόγος για τη μόλυνση είναι ότι οι συσκευές εκτελούν παλιές εκδόσεις ευάλωτες σε ένα exploit που εκτελεί κακόβουλο κώδικα σε αυτές εξ αποστάσεως. Για παράδειγμα, οι εκδόσεις 7.1, 10.1 και 12.1 κυκλοφόρησαν το 2016, το 2019 και το 2022, αντίστοιχα. Επιπλέον, ο Δρ Webb είπε ότι δεν είναι ασυνήθιστο για τους κατασκευαστές οικονομικών συσκευών να εγκαθιστούν παλαιότερες εκδόσεις λειτουργικών συστημάτων σε κουτιά ροής και να τα κάνουν να φαίνονται πιο ελκυστικά παρουσιάζοντάς τα ως νεότερα μοντέλα.
Επιπλέον, ενώ μόνο οι κατασκευαστές συσκευών με άδεια επιτρέπεται να τροποποιούν το AndroidTV της Google, οποιοσδήποτε κατασκευαστής συσκευών είναι ελεύθερος να κάνει αλλαγές σε εκδόσεις ανοιχτού κώδικα. Αυτό αφήνει ανοιχτό το ενδεχόμενο οι συσκευές στην αλυσίδα εφοδιασμού να έχουν μολυνθεί και να έχουν ήδη παραβιαστεί από τη στιγμή που ο τελικός χρήστης τις αγόρασε.
«Ανακαλύφθηκε ότι αυτές οι μολυσμένες συσκευές χωρίς επωνυμία δεν ήταν Πιστοποιημένες συσκευές Android με Play Protect“Εάν μια συσκευή δεν έχει πιστοποιηθεί μέσω του Play Protect, η Google δεν έχει κανένα αρχείο με τα αποτελέσματα των δοκιμών ασφάλειας και συμβατότητας. Οι συσκευές Android που έχουν πιστοποιηθεί μέσω του Play Protect υποβάλλονται σε εκτεταμένες δοκιμές για να διασφαλιστεί η ποιότητα και η ασφάλεια των χρηστών”, ανέφερε η Google σε δήλωση.
Η δήλωση ανέφερε ότι οι άνθρωποι μπορούν να επιβεβαιώσουν ότι η συσκευή χρησιμοποιεί το λειτουργικό σύστημα Android TV μέσω επαλήθευσης Αυτός ο σύνδεσμος Και ακολουθήστε τα βήματα που αναφέρονται εδώ.
Υπάρχουν δεκάδες παραλλαγές Vo1d που χρησιμοποιούν διαφορετικό κώδικα και εγκαθιστούν κακόβουλο λογισμικό σε ελαφρώς διαφορετικές περιοχές αποθήκευσης, αλλά όλες επιτυγχάνουν το ίδιο τελικό αποτέλεσμα σύνδεσης σε διακομιστή ελεγχόμενο από εισβολέα και εγκατάστασης ενός τελικού στοιχείου που μπορεί να εγκαταστήσει πρόσθετο κακόβουλο λογισμικό όταν τους ζητηθεί , είπε ο Δρ Γουέμπ. Το VirusTotal εξηγεί ότι οι περισσότερες παραλλαγές Vo1d ανέβηκαν για πρώτη φορά σε έναν ιστότοπο αναγνώρισης κακόβουλου λογισμικού πριν από αρκετούς μήνες.
Οι ερευνητές έγραψαν:
Όλες αυτές οι περιπτώσεις αφορούσαν παρόμοια σημάδια μόλυνσης, επομένως θα τις περιγράψουμε χρησιμοποιώντας ένα από τα πρώτα αιτήματα που λάβαμε ως παράδειγμα. Τα ακόλουθα αντικείμενα έχουν αλλάξει στο επηρεαζόμενο TV box:
- εγκατάσταση-ανάκτηση.sh
- Demonso
Επιπλέον, 4 νέα αρχεία εμφανίστηκαν στο σύστημα αρχείων του:
- /system/xbin/vo1d
- /system/xbin/wd
- /system/bin/debuggerd
- /system/bin/debuggerd_real
ο Ψηφοφορία 1 Δ και φιλία Τα αρχεία είναι στοιχεία Android.Vo1d Το Trojan που ανακαλύψαμε.
Οι συντάκτες του Trojan μπορεί να προσπάθησαν να συγκαλύψουν ένα από τα στοιχεία του ως το πρόγραμμα συστήματος /system/bin/vold, στο οποίο έδωσαν παρόμοιο όνομα “vo1d” (αντικαθιστώντας το πεζό “l” με τον αριθμό “1”). Το όνομα του κακόβουλου λογισμικού προέρχεται από το όνομα αυτού του αρχείου. Επιπλέον, αυτή η ορθογραφία αντιστοιχεί στην αγγλική λέξη “void”.
ο εγκατάσταση-ανάκτηση.sh Το αρχείο είναι ένα σενάριο που βρίσκεται στις περισσότερες συσκευές Android. Εκτελείται κατά την εκκίνηση του λειτουργικού συστήματος και περιέχει δεδομένα για την αυτόματη εκτέλεση των στοιχείων που καθορίζονται σε αυτό. Εάν κάποιο κακόβουλο λογισμικό έχει πρόσβαση root και δυνατότητα εγγραφής σε /σύστημα Κατάλογος συστήματος, μπορεί να εγκατασταθεί στο μολυσμένο μηχάνημα προσθέτοντας τον εαυτό του σε αυτό το σενάριο (ή δημιουργώντας το από την αρχή εάν δεν υπάρχει στο σύστημα). Android.Vo1d Η αυτόματη αναπαραγωγή έχει εγγραφεί για φιλία στοιχείο σε αυτό το αρχείο.
ο Demonso Το αρχείο υπάρχει σε πολλές ριζωμένες συσκευές Android. Εκτελείται από το λειτουργικό σύστημα κατά την εκκίνηση και είναι υπεύθυνο για την παροχή δικαιωμάτων root στον χρήστη. Android.Vo1d Το ίδιο καταγράφηκε και σε αυτό το αρχείο, αφού ρυθμίστηκε και η αυτόματη αναπαραγωγή φιλία μοναξιά.
ο Εντοπιστής σφαλμάτων Το αρχείο είναι ένας δαίμονας που χρησιμοποιείται συνήθως για τη δημιουργία αναφορών σχετικά με σφάλματα που έχουν προκύψει. Αλλά όταν μολύνθηκε η τηλεόραση, αυτό το αρχείο αντικαταστάθηκε από το σενάριο που εκτελείται φιλία συστατικό.
ο debuggerd_real Το αρχείο στην περίπτωση που εξετάζουμε είναι ένα αντίγραφο του σεναρίου που χρησιμοποιήθηκε για την αντικατάσταση του πραγματικού αρχείου Εντοπιστής σφαλμάτων Οι ειδικοί του Doctor Web πιστεύουν ότι οι συγγραφείς του Trojan σκόπευαν να είναι το αρχικό αρχείο Εντοπιστής σφαλμάτων Να μεταφερθεί σε debuggerd_real Να διατηρήσει τις λειτουργίες του. Ωστόσο, καθώς η μόλυνση μπορεί να έχει συμβεί δύο φορές, ο Trojan έχει ήδη μεταδώσει το αρχείο αντικατάστασης (δηλαδή το σενάριο). Ως αποτέλεσμα, η συσκευή περιείχε δύο σενάρια Trojan και όχι ένα πραγματικό αρχείο. Εντοπιστής σφαλμάτων Αρχείο προγράμματος.
Εν τω μεταξύ, άλλοι χρήστες που επικοινώνησαν μαζί μας είχαν μια ελαφρώς διαφορετική λίστα αρχείων στις μολυσμένες συσκευές τους:
- Demonso (ο Ψηφοφορία 1 Δ Αναλογικό πηνίο — Android.Vo1d.1)
- φιλία (Android.Vo1d.3)
- Εντοπιστής σφαλμάτων (το ίδιο κείμενο όπως παραπάνω).
- debuggerd_real (Αρχικό αρχείο του Εντοπιστής σφαλμάτων εργαλείο);
- εγκατάσταση-ανάκτηση.sh (Ένα σενάριο που φορτώνει τα αντικείμενα που καθορίζονται σε αυτό).
Η ανάλυση όλων των παραπάνω αρχείων έδειξε ότι προκειμένου να ενοποιηθούν Android.Vo1d σε Σύστημα, οι συντάκτες του χρησιμοποίησαν τουλάχιστον τρεις διαφορετικές μεθόδους: Τροποποίηση εγκατάσταση-ανάκτηση.sh και Demonso αρχεία και να τα αντικαταστήσετε Εντοπιστής σφαλμάτων Πιθανότατα περίμεναν τουλάχιστον ένα από τα αρχεία προορισμού να υπάρχει στο μολυσμένο σύστημα, καθώς η παραβίαση μόνο ενός από αυτά θα εξασφάλιζε την επιτυχή αυτόματη εκτέλεση του Trojan κατά τις επόμενες επανεκκινήσεις της συσκευής.
Android.Vo1dΗ κύρια λειτουργία του 's είναι κρυμμένη μέσα Ψηφοφορία 1 Δ (Android.Vo1d.1) και φιλία (Android.Vo1d.3) Εξαρτήματα που λειτουργούν αρμονικά. Android.Vo1d.1 Η μονάδα είναι υπεύθυνη για Android.Vo1d.3Εκτελεί τη δραστηριότητα ενός προγράμματος και ελέγχει τη δραστηριότητά του, επανεκκινώντας τη διαδικασία του εάν είναι απαραίτητο. Επιπλέον, μπορεί να πραγματοποιήσει λήψη και εκτέλεση εκτελέσιμων αρχείων όταν του ζητηθεί από τον διακομιστή C&C. Με τη σειρά του, Android.Vo1d.3 Η μονάδα εγκαθίσταται και εκτελείται Android.Vo1d.5 Ένα πρόγραμμα που είναι κρυπτογραφημένο και αποθηκευμένο στο σώμα του. Αυτή η ενότητα μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση εκτελέσιμων αρχείων. Επιπλέον, παρακολουθεί συγκεκριμένους καταλόγους και εγκαθιστά τα αρχεία APK που βρίσκει εκεί.
Η εξάπλωση της μόλυνσης είναι ευρέως κατανεμημένη γεωγραφικά, με τον μεγαλύτερο αριθμό μολύνσεων να ανιχνεύονται στη Βραζιλία, το Μαρόκο, το Πακιστάν, τη Σαουδική Αραβία, τη Ρωσία, την Αργεντινή, τον Ισημερινό, την Τυνησία, τη Μαλαισία, την Αλγερία και την Ινδονησία.
Δεν είναι ιδιαίτερα εύκολο για λιγότερο έμπειρους ανθρώπους να ελέγξουν εάν μια συσκευή έχει μολυνθεί ή όχι χωρίς να εγκαταστήσουν σαρωτές κακόβουλου λογισμικού. Η Doctor Web είπε ότι το antivirus για Android θα ανιχνεύει όλες τις παραλλαγές Vo1d και θα απολυμαίνει τις συσκευές που παρέχουν πρόσβαση root. Οι πιο έμπειροι χρήστες μπορούν να ελέγξουν για δείκτες ξεμπλοκαρίσματος εδώ.