Android.Vo1d-malware

Ongeveer 1,3 miljoen Android-tv-boxen, die werken op verouderde systeemversies en in 197 landen worden gebruikt, zijn gecompromitteerd door een nieuw ontdekte malware genaamd Vo1d (ook bekend als Void). Deze backdoor-malware integreert zijn componenten in de systeemopslag en kan heimelijk applicaties van derden downloaden en installeren na het ontvangen van opdrachten van aanvallers.

De meeste infecties zijn vastgesteld in Brazilië, Marokko, Pakistan, Saoedi-Arabië, Argentinië, Rusland, Tunesië, Ecuador, Maleisië, Algerije en Indonesië.

Meerdere apparaten doelwit van de Vo1d-aanval

De exacte bron van de infectie blijft onduidelijk. Toch wordt vermoed dat het voortkomt uit een eerdere inbreuk die aanvallers in staat stelde root-rechten te verkrijgen of het gebruik van onofficiële firmwareversies met ingebouwde root-toegang.

De volgende tv-modellen zijn het doelwit van deze campagne:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP-versie/NHG47K)
• R4 (Android 7.1.2; R4-build/NHG47K)
• TV-BOX (Android 12.1; TV-BOX Build/NHG47K)

Bij de aanval wordt het daemonbestand '/system/bin/debuggerd' vervangen (het oorspronkelijke bestand wordt hernoemd naar 'debuggerd_real' als back-up) en worden er twee nieuwe bestanden toegevoegd: '/system/xbin/vo1d' en '/system/xbin/wd'. Deze bestanden bevatten de frauduleuze code en worden gelijktijdig uitgevoerd.

Google gaf aan dat de getroffen tv-modellen geen Play Protect-gecertificeerde Android-apparaten waren en waarschijnlijk broncode uit de repository van het Android Open Source Project (AOSP) gebruikten.

Cybercriminelen hebben Android-bestanden aangepast om malware te verspreiden

Vóór Android 8.0 werden crashes beheerd door de daemons debuggerd en debuggerd64, zoals vermeld in de Android-documentatie van Google. Vanaf Android 8.0 worden 'crash_dump32' en 'crash_dump64' op aanvraag gespawnd.

Als onderdeel van de malwarecampagne werden twee bestanden die doorgaans deel uitmaken van het Android-besturingssysteem – install-recovery.sh en daemonsu – aangepast om de malware uit te voeren door de 'wd'-module te starten.

Cybersecurity-onderzoekers vermoeden dat de makers van de malware waarschijnlijk hebben geprobeerd om een van de componenten ervan te vermommen als het systeemprogramma '/system/bin/vold' door het 'vo1d' te noemen, waarbij de kleine letter 'l' werd vervangen door het cijfer '1' om een vergelijkbare indruk te wekken.

De 'vo1d'-payload start de 'wd'-module en zorgt ervoor dat deze actief blijft, terwijl het ook uitvoerbare bestanden downloadt en uitvoert bij het ontvangen van opdrachten van een command-and-control (C2)-server. Daarnaast bewaakt het specifieke mappen en installeert het alle APK-bestanden die het vindt.

Helaas is het niet ongebruikelijk dat fabrikanten van budgetapparaten verouderde besturingssystemen gebruiken en deze als nieuwer op de markt brengen om hun producten aantrekkelijker te laten lijken.