Κακόβουλο λογισμικό Android.Vo1d
Περίπου 1,3 εκατομμύρια TV box που βασίζονται σε Android, που λειτουργούν σε ξεπερασμένες εκδόσεις συστήματος και χρησιμοποιούνται σε 197 χώρες, έχουν παραβιαστεί από ένα νέο κακόβουλο λογισμικό που ονομάζεται Vo1d (γνωστό και ως Void). Αυτό το κακόβουλο λογισμικό backdoor ενσωματώνει τα στοιχεία του στον χώρο αποθήκευσης του συστήματος και μπορεί να κατεβάσει και να εγκαταστήσει κρυφά εφαρμογές τρίτων όταν λάβει εντολές από εισβολείς.
Οι περισσότερες μολύνσεις έχουν εντοπιστεί στη Βραζιλία, το Μαρόκο, το Πακιστάν, τη Σαουδική Αραβία, την Αργεντινή, τη Ρωσία, την Τυνησία, τον Ισημερινό, τη Μαλαισία, την Αλγερία και την Ινδονησία.
Πολλαπλές συσκευές που στοχεύονται από την επίθεση Vo1d
Η ακριβής πηγή της μόλυνσης παραμένει ασαφής. Ωστόσο, υπάρχει υποψία ότι προέρχεται είτε από προηγούμενο συμβιβασμό που επέτρεπε στους εισβολείς να αποκτήσουν δικαιώματα root είτε από τη χρήση ανεπίσημων εκδόσεων υλικολογισμικού με ενσωματωμένη πρόσβαση root.
Τα ακόλουθα μοντέλα τηλεόρασης έχουν στοχοποιηθεί σε αυτήν την καμπάνια:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
- R4 (Android 7.1.2; R4 Build/NHG47K)
- TV BOX (Android 12.1; TV BOX Build/NHG47K)
Η επίθεση περιλαμβάνει την αντικατάσταση του αρχείου δαίμονα '/system/bin/debuggerd' (το αρχικό αρχείο μετονομάζεται σε 'debuggerd_real' ως αντίγραφο ασφαλείας) και την προσθήκη δύο νέων αρχείων: '/system/xbin/vo1d' και '/system/xbin/ wd.' Αυτά τα αρχεία περιέχουν τον δόλιο κώδικα και εκτελούνται ταυτόχρονα.
Η Google σημείωσε ότι τα μοντέλα τηλεοράσεων που επηρεάστηκαν δεν ήταν συσκευές Android με πιστοποίηση Play Protect και πιθανότατα χρησιμοποιούσαν τον πηγαίο κώδικα από το αποθετήριο Android Open Source Project (AOSP).
Οι κυβερνοεγκληματίες τροποποίησαν τα αρχεία Android για να παρέχουν κακόβουλο λογισμικό
Πριν από το Android 8.0, τα σφάλματα διαχειρίζονταν οι δαίμονες εντοπισμού σφαλμάτων και αποσφαλμάτωσης64, όπως σημειώνεται στην τεκμηρίωση Android της Google. Ξεκινώντας με το Android 8.0, τα «crash_dump32» και «crash_dump64» δημιουργούνται κατόπιν ζήτησης.
Ως μέρος της καμπάνιας κακόβουλου λογισμικού, δύο αρχεία που αποτελούν συνήθως μέρος του λειτουργικού συστήματος Android – install-recovery.sh και daemonsu – τροποποιήθηκαν για την εκτέλεση του κακόβουλου λογισμικού εκκινώντας τη λειτουργική μονάδα «wd».
Οι ερευνητές κυβερνοασφάλειας προτείνουν ότι οι δημιουργοί κακόβουλου λογισμικού πιθανότατα προσπάθησαν να συγκαλύψουν ένα από τα στοιχεία του ως το πρόγραμμα συστήματος «/system/bin/vold» ονομάζοντάς το «vo1d», αντικαθιστώντας το πεζό «l» με τον αριθμό «1» για να δημιουργήσουν ένα παρόμοιο εμφάνιση.
Το ωφέλιμο φορτίο «vo1d» ξεκινά τη λειτουργική μονάδα «wd» και φροντίζει να παραμένει ενεργή, ενώ παράλληλα κατεβάζει και εκτελεί εκτελέσιμα κατά τη λήψη εντολών από έναν διακομιστή εντολών και ελέγχου (C2). Επιπλέον, παρακολουθεί συγκεκριμένους καταλόγους, εγκαθιστώντας τυχόν αρχεία APK που βρίσκει.
Δυστυχώς, δεν είναι ασυνήθιστο για τους κατασκευαστές οικονομικών συσκευών να χρησιμοποιούν ξεπερασμένες εκδόσεις λειτουργικού συστήματος και να τις εμπορεύονται ως πιο πρόσφατες για να κάνουν τα προϊόντα τους να φαίνονται πιο ελκυστικά.