Android.Vo1d Зловреден софтуер

Приблизително 1,3 милиона базирани на Android телевизионни устройства, работещи на остарели версии на системата и използвани в 197 страни, са били компрометирани от новооткрит зловреден софтуер, наречен Vo1d (известен също като Void). Този злонамерен софтуер със задна вратичка вгражда своите компоненти в системното хранилище и може тайно да изтегля и инсталира приложения на трети страни при получаване на команди от нападатели.

Повечето инфекции са идентифицирани в Бразилия, Мароко, Пакистан, Саудитска Арабия, Аржентина, Русия, Тунис, Еквадор, Малайзия, Алжир и Индонезия.

Множество устройства, насочени към атаката Vo1d

Точният източник на заразата остава неясен. Все пак се подозира, че произтича или от предишен компромис, който е позволил на нападателите да получат root привилегии, или от използването на неофициални версии на фърмуера с вграден root достъп.

В тази кампания са насочени следните модели телевизори:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Атаката включва подмяна на файла на демона „/system/bin/debuggerd“ (оригиналния файл е преименуван на „debuggerd_real“ като резервен) и добавяне на два нови файла: „/system/xbin/vo1d“ и „/system/xbin/ wd.' Тези файлове съдържат измамния код и се изпълняват едновременно.

Google отбеляза, че засегнатите модели телевизори не са сертифицирани от Play Protect устройства с Android и вероятно са използвали изходен код от хранилището на Android Open Source Project (AOSP).

Киберпрестъпниците модифицираха Android файлове, за да доставят зловреден софтуер

Преди Android 8.0 сривовете се управляваха от демоните debuggerd и debuggerd64, както е отбелязано в документацията на Google за Android. Започвайки с Android 8.0, „crash_dump32“ и „crash_dump64“ се генерират при поискване.

Като част от кампанията за злонамерен софтуер, два файла, които обикновено са част от операционната система Android – install-recovery.sh и daemonsu – бяха променени, за да изпълнят злонамерения софтуер чрез стартиране на модула „wd“.

Изследователите на киберсигурността предполагат, че авторите на зловреден софтуер вероятно са се опитали да маскират един от компонентите му като системната програма „/system/bin/vold“, като са го нарекли „vo1d“, заменяйки малката буква „l“ с числото „1“, за да създадат подобна външен вид.

Полезният товар „vo1d“ стартира модула „wd“ и се уверява, че той остава активен, като същевременно изтегля и изпълнява изпълними файлове при получаване на команди от командно-контролен (C2) сървър. Освен това, той следи конкретни директории, като инсталира всички APK файлове, които намери.

За съжаление, не е необичайно производителите на бюджетни устройства да използват остарели версии на операционната система и да ги предлагат на пазара като по-нови, за да направят продуктите си по-привлекателни.