Kant's IT/Issue on IT&Security

Vo1d 악성코드: 1.3백만 Android 기반 TV 박스 감염

Kant Jo 2024. 9. 23. 15:13

Vo1d malware infected 1.3M Android-based TV Boxes

 

Vo1d malware infected 1.3M Android-based TV Boxes

Researchers uncovered an Android malware, dubbed Vo1d, that has already infected nearly 1.3 million Android devices in 197 countries.

securityaffairs.com

 

  • 개요
    • Vo1d라는 Android 기반 악성코드가 전 세계 197개국의 약 130만 대 TV 박스를 감염시킴
    • 이 악성코드는 백도어로 작동해 공격자가 제3자 소프트웨어를 은밀히 설치할 수 있음
  • 악성코드 주요 감염 메커니즘
    • 악성코드는 install-recovery.sh 파일을 통해 시스템 부팅 시 자동으로 실행되도록 설정됨
    • 감염된 기기에서 system 파일이 변조되었으며, Vo1dwd 파일이 추가됨
    • 루트 권한을 통해 악성코드는 시스템 디렉터리에 자리잡고, log 삭제 등을 통해 활동을 은폐함
  • 주요 감염 지역
    • 감염은 브라질, 모로코, 파키스탄, 사우디아라비아, 러시아, 아르헨티나, 에콰도르, 튀니지, 말레이시아, 알제리, 인도네시아 등에서 집중적으로 발생
  • TV 박스 취약점
    • Android 기반 TV 박스는 주로 오래된 운영체제를 실행하며, 보안 패치가 부족해 공격에 취약
    • 많은 경우, Android 10 또는 12로 표시되지만 실제로는 Android 7.1과 같은 오래된 버전을 실행하고 있음
    • 이러한 기기는 사용자들이 안티바이러스 소프트웨어를 설치하지 않는 경향이 있어 공격에 더욱 노출됨
  • 악성코드 활동 및 감염 경로
    • Vo1d는 쉘 스크립트파이썬 스크립트를 사용하여 시스템에 다운로드되고 실행됨
    • 공격자는 SSH 데이터를 포함한 디렉터리를 타겟으로 하여 조직 내에서 횡적 이동추가 서버 감염을 시도함
    • 감염된 시스템에 크립토마이너와 Tsunami 악성코드를 함께 설치함
저작자표시 비영리 변경금지