Android.Vo1d skadelig programvare

Omtrent 1,3 millioner Android-baserte TV-bokser, som opererer på utdaterte systemversjoner og brukes i 197 land, har blitt kompromittert av en nylig oppdaget skadelig programvare kalt Vo1d (også kjent som Void). Denne bakdøren skadelig programvare bygger inn komponentene i systemlagringen og kan i det skjulte laste ned og installere tredjepartsapplikasjoner når de mottar kommandoer fra angripere.

De fleste infeksjonene er identifisert i Brasil, Marokko, Pakistan, Saudi-Arabia, Argentina, Russland, Tunisia, Ecuador, Malaysia, Algerie og Indonesia.

Flere enheter målrettet av Vo1d-angrepet

Den nøyaktige kilden til infeksjonen er fortsatt uklar. Likevel er det mistenkt å stamme fra enten et tidligere kompromiss som tillot angripere å få root-privilegier eller bruk av uoffisielle fastvareversjoner med innebygd root-tilgang.

Følgende TV-modeller har blitt målrettet i denne kampanjen:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Angrepet innebærer å erstatte '/system/bin/debuggerd' daemonfilen (den originale filen er omdøpt til 'debuggerd_real' som en sikkerhetskopi) og legge til to nye filer: '/system/xbin/vo1d' og '/system/xbin/ wd.' Disse filene inneholder den uredelige koden og kjører samtidig.

Google bemerket at de berørte TV-modellene ikke var Play Protect-sertifiserte Android-enheter og sannsynligvis brukte kildekode fra Android Open Source Project (AOSP) repository.

Cyberkriminelle endret Android-filer for å levere skadelig programvare

Før Android 8.0 ble krasj administrert av debuggerd- og debuggerd64-demonene, som nevnt i Googles Android-dokumentasjon. Fra og med Android 8.0 blir 'crash_dump32' og 'crash_dump64' skapt på forespørsel.

Som en del av skadevarekampanjen ble to filer som vanligvis er en del av Android-operativsystemet – install-recovery.sh og daemonsu – endret for å kjøre skadevare ved å starte 'wd'-modulen.

Nettsikkerhetsforskere antyder at skadevareforfatterne sannsynligvis forsøkte å skjule en av komponentene som systemprogrammet '/system/bin/vold' ved å gi det navnet 'vo1d', og erstatte den små bokstaven 'l' med tallet '1' for å lage en lignende utseende.

'vo1d' nyttelasten starter 'wd'-modulen og sørger for at den forblir aktiv, samtidig som den laster ned og kjører kjørbare filer ved mottak av kommandoer fra en kommando-og-kontroll-server (C2). I tillegg overvåker den spesifikke kataloger og installerer alle APK-filer den finner.

Dessverre er det ikke uvanlig at produsenter av budsjettenheter bruker utdaterte OS-versjoner og markedsfører dem som nyere for å få produktene deres til å virke mer tiltalende.