Android.Vo1d 맬웨어

약 130만 대의 안드로이드 기반 TV 박스가 오래된 시스템 버전으로 작동하고 197개국에서 사용 중이며, Vo1d(Void라고도 함)라는 새로 발견된 맬웨어에 의해 손상되었습니다. 이 백도어 맬웨어는 시스템 스토리지에 구성 요소를 내장하고 공격자로부터 명령을 받으면 타사 애플리케이션을 은밀하게 다운로드하고 설치할 수 있습니다.

대부분의 감염은 브라질, 모로코, 파키스탄, 사우디아라비아, 아르헨티나, 러시아, 튀니지, 에콰도르, 말레이시아, 알제리, 인도네시아에서 확인되었습니다.

Vo1d 공격의 타겟이 된 여러 기기

감염의 정확한 출처는 여전히 불분명합니다. 그래도 공격자가 루트 권한을 얻을 수 있도록 허용한 이전 침해나 내장된 루트 액세스가 있는 비공식 펌웨어 버전 사용에서 비롯된 것으로 의심됩니다.

이 캠페인에서는 다음 TV 모델을 타겟으로 삼았습니다.

• KJ-SMART4KVIP(안드로이드 10.1; KJ-SMART4KVIP 빌드/NHG47K)
• R4(안드로이드 7.1.2; R4 빌드/NHG47K)
• TV BOX(안드로이드 12.1; TV BOX 빌드/NHG47K)

공격에는 '/system/bin/debuggerd' 데몬 파일을 교체하고(원본 파일은 백업용으로 'debuggerd_real'로 이름이 변경됨) 두 개의 새 파일 '/system/xbin/vo1d'와 '/system/xbin/wd'를 추가하는 것이 포함됩니다. 이 파일에는 사기 코드가 포함되어 있으며 동시에 실행됩니다.

Google은 영향을 받은 TV 모델이 Play Protect 인증을 받은 Android 기기가 아니며, Android 오픈 소스 프로젝트(AOSP) 저장소의 소스 코드를 사용했을 가능성이 있다고 밝혔습니다.

사이버 범죄자들이 안드로이드 파일을 수정해 맬웨어를 전달

Android 8.0 이전에는 Google의 Android 설명서에 언급된 대로 debuggerd 및 debuggerd64 데몬이 충돌을 관리했습니다. Android 8.0부터 'crash_dump32' 및 'crash_dump64'는 필요에 따라 생성됩니다.

악성 소프트웨어 캠페인의 일환으로, 일반적으로 Android 운영 체제에 포함된 두 파일(install-recovery.sh 및 daemonsu)이 'wd' 모듈을 시작하여 악성 소프트웨어를 실행하도록 변경되었습니다.

사이버보안 연구원들은 맬웨어 제작자가 구성 요소 중 하나를 'vo1d'라는 이름을 붙여 시스템 프로그램 '/system/bin/vold'로 위장하려고 시도했을 가능성이 있다고 추정합니다. 소문자 'l'을 숫자 '1'로 바꿔서 비슷하게 보이도록 만든 것입니다.

'vo1d' 페이로드는 'wd' 모듈을 시작하고 활성화 상태를 유지하는 동시에 명령 및 제어(C2) 서버에서 명령을 받으면 실행 파일을 다운로드하고 실행합니다. 또한 특정 디렉토리를 모니터링하여 찾은 모든 APK 파일을 설치합니다.

안타깝게도 저가형 기기 제조업체가 오래된 OS 버전을 사용하고 이를 최신 버전인 것처럼 마케팅하여 자사 제품을 더욱 매력적으로 보이게 하는 것은 드문 일이 아닙니다.