Android.Vo1d Malware

Około 1,3 miliona dekoderów TV opartych na systemie Android, działających na przestarzałych wersjach systemu i używanych w 197 krajach, zostało zainfekowanych przez nowo odkryte złośliwe oprogramowanie o nazwie Vo1d (znane również jako Void). To złośliwe oprogramowanie typu backdoor osadza swoje komponenty w pamięci masowej systemu i może dyskretnie pobierać i instalować aplikacje innych firm po otrzymaniu poleceń od atakujących.

Najwięcej zakażeń odnotowano w Brazylii, Maroku, Pakistanie, Arabii Saudyjskiej, Argentynie, Rosji, Tunezji, Ekwadorze, Malezji, Algierii i Indonezji.

Wiele urządzeń celem ataku Vo1d

Dokładne źródło infekcji pozostaje niejasne. Nadal podejrzewa się, że wynika ona albo z wcześniejszego naruszenia, które pozwoliło atakującym uzyskać uprawnienia roota, albo z użycia nieoficjalnych wersji oprogramowania sprzętowego z wbudowanym dostępem roota.

W kampanii wzięły udział następujące modele telewizorów:

• KJ-SMART4KVIP (Android 10.1; kompilacja KJ-SMART4KVIP/NHG47K)
• R4 (Android 7.1.2; kompilacja R4/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Atak polega na zastąpieniu pliku demona „/system/bin/debuggerd” (oryginalna nazwa pliku zostaje zmieniona na „debuggerd_real” jako kopia zapasowa) i dodaniu dwóch nowych plików: „/system/xbin/vo1d” i „/system/xbin/wd”. Pliki te zawierają kod oszustwa i są uruchamiane równolegle.

Google zauważyło, że dotknięte problemem modele telewizorów nie są urządzeniami z Androidem posiadającymi certyfikat Play Protect i najprawdopodobniej wykorzystują kod źródłowy z repozytorium Android Open Source Project (AOSP).

Cyberprzestępcy modyfikowali pliki Androida, aby dostarczać złośliwe oprogramowanie

Przed Androidem 8.0 awarie były zarządzane przez demony debuggerd i debuggerd64, jak wskazano w dokumentacji Androida firmy Google. Począwszy od Androida 8.0, 'crash_dump32' i 'crash_dump64' są generowane na żądanie.

W ramach kampanii rozprzestrzeniania złośliwego oprogramowania zmodyfikowano dwa pliki, które zwykle są częścią systemu operacyjnego Android – install-recovery.sh i daemonsu – w celu uruchomienia złośliwego oprogramowania poprzez uruchomienie modułu „wd”.

Badacze zajmujący się bezpieczeństwem cybernetycznym sugerują, że autorzy złośliwego oprogramowania prawdopodobnie próbowali zamaskować jeden z jego składników jako program systemowy „/system/bin/vold”, nadając mu nazwę „vo1d”, zastępując małą literę „l” cyfrą „1”, aby uzyskać podobny wygląd.

Ładunek „vo1d” uruchamia moduł „wd” i upewnia się, że pozostaje aktywny, a także pobiera i uruchamia pliki wykonywalne po otrzymaniu poleceń z serwera poleceń i kontroli (C2). Ponadto monitoruje określone katalogi, instalując wszystkie znalezione pliki APK.

Niestety, producenci niedrogich urządzeń często korzystają ze starych wersji systemów operacyjnych i reklamują je jako nowsze, aby ich produkty wydawały się atrakcyjniejsze.