Perisian Hasad Android.Vo1d

Kira-kira 1.3 juta kotak TV berasaskan Android, beroperasi pada versi sistem yang lapuk dan digunakan di 197 negara, telah dikompromi oleh perisian hasad yang baru ditemui dipanggil Vo1d (juga dikenali sebagai Void). Malware pintu belakang ini membenamkan komponennya dalam storan sistem dan secara rahsia boleh memuat turun dan memasang aplikasi pihak ketiga apabila menerima arahan daripada penyerang.

Kebanyakan jangkitan telah dikenal pasti di Brazil, Maghribi, Pakistan, Arab Saudi, Argentina, Rusia, Tunisia, Ecuador, Malaysia, Algeria dan Indonesia.

Berbilang Peranti Disasarkan oleh Serangan Vo1d

Sumber sebenar jangkitan masih tidak jelas. Namun, ia disyaki berpunca daripada sama ada kompromi terdahulu yang membenarkan penyerang mendapat keistimewaan root atau penggunaan versi perisian tegar tidak rasmi dengan akses root terbina dalam.

Model TV berikut telah disasarkan dalam kempen ini:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Serangan itu melibatkan menggantikan fail daemon '/system/bin/debuggerd' (fail asal dinamakan semula kepada 'debuggerd_real' sebagai sandaran) dan menambah dua fail baharu: '/system/xbin/vo1d' dan '/system/xbin/ wd.' Fail ini mengandungi kod penipuan dan dijalankan serentak.

Google menyatakan bahawa model TV yang terjejas bukanlah peranti Android yang diperakui Play Protect dan berkemungkinan menggunakan kod sumber daripada repositori Projek Sumber Terbuka Android (AOSP).

Penjenayah Siber Mengubah Suai Fail Android untuk Menyampaikan Perisian Hasad

Sebelum Android 8.0, ranap sistem diuruskan oleh daemon penyahpepijat dan penyahpepijat64, seperti yang dinyatakan dalam dokumentasi Android Google. Bermula dengan Android 8.0, 'crash_dump32' dan 'crash_dump64' dihasilkan atas permintaan.

Sebagai sebahagian daripada kempen perisian hasad, dua fail yang biasanya merupakan sebahagian daripada sistem pengendalian Android – install-recovery.sh dan daemonsu – telah diubah untuk melaksanakan perisian hasad dengan melancarkan modul 'wd'.

Penyelidik keselamatan siber mencadangkan bahawa pengarang perisian hasad mungkin cuba menyamar salah satu komponennya sebagai program sistem '/system/bin/vold' dengan menamakannya 'vo1d,' menggantikan huruf kecil 'l' dengan nombor '1' untuk mencipta yang serupa penampilan.

Muatan 'vo1d' memulakan modul 'wd' dan memastikan ia kekal aktif, sementara turut memuat turun dan menjalankan boleh laku apabila menerima arahan daripada pelayan arahan dan kawalan (C2). Selain itu, ia memantau direktori tertentu, memasang sebarang fail APK yang ditemuinya.

Malangnya, bukanlah sesuatu yang luar biasa bagi pengeluar peranti bajet untuk menggunakan versi OS yang lapuk dan memasarkannya sebagai lebih terkini untuk menjadikan produk mereka kelihatan lebih menarik.