Android.Vo1d-haittaohjelma

Noin 1,3 miljoonaa Android-pohjaista TV-laitetta, jotka toimivat vanhentuneilla järjestelmäversioilla ja joita käytetään 197 maassa, on vaarantunut hiljattain löydetyn Vo1d-haittaohjelman (tunnetaan myös nimellä Void) takia. Tämä takaoven haittaohjelma upottaa osansa järjestelmän tallennustilaan ja voi salaa ladata ja asentaa kolmannen osapuolen sovelluksia saatuaan komentoja hyökkääjiltä.

Eniten tartuntoja on todettu Brasiliassa, Marokossa, Pakistanissa, Saudi-Arabiassa, Argentiinassa, Venäjällä, Tunisiassa, Ecuadorissa, Malesiassa, Algeriassa ja Indonesiassa.

Useita Vo1d-hyökkäyksen kohteena olevia laitteita

Tarkka tartunnan lähde on edelleen epäselvä. Silti sen epäillään johtuvan joko aiemmasta kompromissista, jonka avulla hyökkääjät saivat pääkäyttäjän oikeudet, tai epävirallisten laiteohjelmistoversioiden käytöstä, joissa on sisäänrakennettu pääkäyttäjän oikeudet.

Seuraavat TV-mallit on kohdistettu tässä kampanjassa:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Hyökkäys sisältää '/system/bin/debuggerd'-daemon-tiedoston korvaamisen (alkuperäinen tiedosto nimetään uudelleen 'debuggerd_real'iksi varmuuskopioksi) ja kahden uuden tiedoston lisäämisen: '/system/xbin/vo1d' ja '/system/xbin/ wd.' Nämä tiedostot sisältävät vilpillisen koodin ja toimivat samanaikaisesti.

Google totesi, että ongelmalliset TV-mallit eivät olleet Play Protect -sertifioituja Android-laitteita ja todennäköisesti käyttivät lähdekoodia Android Open Source Project (AOSP) -tietovarastosta.

Kyberrikolliset muuttivat Android-tiedostoja haittaohjelmien toimittamiseksi

Ennen Android 8.0:aa kaatumiset hallitsivat debugger- ja debuggerd64-daemonit, kuten Googlen Android-dokumentaatiossa mainitaan. Android 8.0:sta alkaen "crash_dump32" ja "crash_dump64" syntyy pyynnöstä.

Osana haittaohjelmakampanjaa kahta tyypillisesti Android-käyttöjärjestelmään kuuluvaa tiedostoa – install-recovery.sh ja daemonsu – muutettiin suorittamaan haittaohjelma käynnistämällä "wd"-moduuli.

Kyberturvallisuustutkijat ehdottavat, että haittaohjelmien tekijät yrittivät todennäköisesti naamioida yhden sen komponenteista järjestelmäohjelmaksi '/system/bin/vold' antamalla sille nimen 'vo1d' ja korvaamalla pienet kirjaimet 'l' numerolla '1' luodakseen samanlaisen. ulkonäkö.

'vo1d'-hyötykuorma käynnistää 'wd'-moduulin ja varmistaa, että se pysyy aktiivisena, samalla kun se lataa ja suorittaa suoritettavia tiedostoja vastaanotettaessa komentoja komento- ja ohjauspalvelimelta (C2). Lisäksi se valvoo tiettyjä hakemistoja ja asentaa löytämänsä APK-tiedostot.

Valitettavasti ei ole epätavallista, että budjettilaitteiden valmistajat käyttävät vanhentuneita käyttöjärjestelmäversioita ja markkinoivat niitä uudemmina saadakseen tuotteensa näyttämään houkuttelevammilta.