增强功能维持VO1D僵尸网络的快速增长

增强功能维持VO1D僵尸网络的快速增长

增强功能维持VO1D僵尸网络的快速增长

Pierluigi Paganini Pierluigi Paganini 2025年2月28日

VO1D僵尸网络背后的运营商增强了其能力，近几个月来可以快速增长。

在2024年9月，医生Web研究人员发现了一种被跟踪为VO1D的恶意软件，该软件感染了197个国家 /地区属于用户的近130万个基于Android的电视盒。恶意代码充当后门，允许攻击者秘密下载和安装第三方软件。

发现 vo1d

在2024年8月，一些用户报告说，Web Antivirus博士检测到其电视盒系统文件的变化。在几种模型中观察到了问题，包括R4（Android 7.1.2），电视盒（Android 12.1）和KJ-Smart4KVIP（Android 10.1）。在所有情况下，妥协的指标都是相似的，对install-recovery.sh和daemonsu等系统文件进行了修改。此外，出现了四个新文件：VO1D，WD，DEBUGGERD和DEBUGGERD_REAL。 VO1D和WD文件被确定为VO1D Android Trojan的组件。

install-recovery.sh daemonsu vo1d WD debuggerd debuggerd_real vo1d WD

专家报告说，感染的地理分布包括近200个国家。据报道，最多的感染是在巴西，摩洛哥，巴基斯坦，沙特阿拉伯，俄罗斯，阿根廷，厄瓜多尔，突尼斯，马来西亚，阿尔及利亚和印度尼西亚。

医生Web观察到，攻击者的目标是电视盒，因为这些设备经常耗尽带有未插入漏洞并且缺乏更新的Android版本。许多用户报告的设备标记为运行Android 10或12，但实际上使用了Android 7.1。不幸的是，制造商经常以较新的OS版本出售较新的OS版本。用户可能还会错误地认为，电视盒比智能手机更安全，并且不太可能安装防病毒软件，从而在下载第三方应用程序或非官方固件时会增加风险。

911 S5 报告 Facebook （ -