Malware Android.Vo1d

Circa 1,3 milioni di TV box basati su Android, che operano su versioni di sistema obsolete e sono utilizzate in 197 paesi, sono state compromesse da un malware appena scoperto chiamato Vo1d (noto anche come Void). Questo malware backdoor incorpora i suoi componenti nello storage di sistema e può scaricare e installare segretamente applicazioni di terze parti dopo aver ricevuto comandi dagli aggressori.

La maggior parte delle infezioni è stata identificata in Brasile, Marocco, Pakistan, Arabia Saudita, Argentina, Russia, Tunisia, Ecuador, Malesia, Algeria e Indonesia.

Dispositivi multipli presi di mira dall'attacco Vo1d

La fonte esatta dell'infezione rimane poco chiara. Tuttavia, si sospetta che derivi da una precedente compromissione che ha consentito agli aggressori di ottenere privilegi di root o dall'uso di versioni di firmware non ufficiali con accesso di root integrato.

Questa campagna ha preso di mira i seguenti modelli di TV:

• KJ-SMART4KVIP (Android 10.1; versione KJ-SMART4KVIP/NHG47K)
• R4 (Android 7.1.2; versione R4/NHG47K)
• TV BOX (Android 12.1; Versione TV BOX/NHG47K)

L'attacco consiste nella sostituzione del file demone '/system/bin/debuggerd' (il file originale viene rinominato in 'debuggerd_real' come backup) e nell'aggiunta di due nuovi file: '/system/xbin/vo1d' e '/system/xbin/wd'. Questi file contengono il codice fraudolento e vengono eseguiti contemporaneamente.

Google ha osservato che i modelli di TV interessati non erano dispositivi Android certificati Play Protect e probabilmente utilizzavano codice sorgente dal repository Android Open Source Project (AOSP).

I criminali informatici hanno modificato i file Android per distribuire malware

Prima di Android 8.0, gli arresti anomali erano gestiti dai daemon debuggerd e debuggerd64, come indicato nella documentazione Android di Google. A partire da Android 8.0, 'crash_dump32' e 'crash_dump64' vengono generati su richiesta.

Nell'ambito della campagna malware, due file che solitamente fanno parte del sistema operativo Android, install-recovery.sh e daemonsu, sono stati modificati per eseguire il malware mediante l'avvio del modulo "wd".

I ricercatori di sicurezza informatica suggeriscono che gli autori del malware abbiano probabilmente tentato di camuffare uno dei suoi componenti come il programma di sistema '/system/bin/vold', chiamandolo 'vo1d' e sostituendo la 'l' minuscola con il numero '1' per creare un aspetto simile.

Il payload 'vo1d' avvia il modulo 'wd' e si assicura che rimanga attivo, mentre scarica ed esegue anche gli eseguibili quando riceve comandi da un server di comando e controllo (C2). Inoltre, monitora directory specifiche, installando tutti i file APK che trova.

Purtroppo, non è insolito che i produttori di dispositivi economici utilizzino versioni obsolete del sistema operativo e le commercializzino come più recenti per rendere i loro prodotti più accattivanti.