Programari maliciós Android.Vo1d

Aproximadament 1,3 milions de caixes de TV basades en Android, que funcionen amb versions del sistema obsoletes i que s'utilitzen a 197 països, s'han vist compromeses per un programari maliciós recentment descobert anomenat Vo1d (també conegut com Void). Aquest programari maliciós de porta posterior incrusta els seus components a l'emmagatzematge del sistema i pot descarregar i instal·lar de manera encoberta aplicacions de tercers en rebre ordres dels atacants.

La majoria de les infeccions s'han identificat al Brasil, el Marroc, el Pakistan, l'Aràbia Saudita, l'Argentina, Rússia, Tunísia, l'Equador, Malàisia, Algèria i Indonèsia.

Múltiples dispositius apuntats per l'atac Vo1d

La font exacta de la infecció encara no està clara. Tot i així, se sospita que prové d'un compromís previ que va permetre als atacants obtenir privilegis d'arrel o de l'ús de versions de microprogramari no oficials amb accés d'arrel integrat.

Els models de televisió següents s'han orientat en aquesta campanya:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

L'atac consisteix a substituir el fitxer del dimoni '/system/bin/debuggerd' (el fitxer original passa a denominar-se 'debuggerd_real' com a còpia de seguretat) i afegir dos fitxers nous: '/system/xbin/vo1d' i '/system/xbin/ wd.' Aquests fitxers contenen el codi fraudulent i s'executen simultàniament.

Google va assenyalar que els models de televisió afectats no eren dispositius Android certificats per Play Protect i probablement utilitzaven codi font del dipòsit d'Android Open Source Project (AOSP).

Els cibercriminals van modificar fitxers d'Android per oferir programari maliciós

Abans d'Android 8.0, els bloquejos eren gestionats pels dimonis debuggerd i debuggerd64, tal com s'indica a la documentació d'Android de Google. A partir d'Android 8.0, "crash_dump32" i "crash_dump64" es generen sota demanda.

Com a part de la campanya de programari maliciós, es van modificar dos fitxers que normalment formen part del sistema operatiu Android, install-recovery.sh i daemonsu, per executar el programari maliciós llançant el mòdul 'wd'.

Els investigadors de ciberseguretat suggereixen que els autors de programari maliciós probablement van intentar disfressar un dels seus components com el programa del sistema "/system/bin/vold" anomenant-lo "vo1d", substituint la "l" minúscula pel número "1" per crear una imatge similar. aparença.

La càrrega útil "vo1d" inicia el mòdul "wd" i s'assegura que roman actiu, alhora que baixa i executa executables en rebre ordres d'un servidor d'ordres i control (C2). A més, supervisa directoris específics, instal·lant qualsevol fitxer APK que trobi.

Malauradament, no és estrany que els fabricants de dispositius econòmics utilitzin versions obsoletes del sistema operatiu i les comercialitzin com a més recents per fer que els seus productes semblin més atractius.