Android.Vo1d Malware

Aproximadamente 1,3 milhões de caixas de TV baseadas no Android, operando em versões desatualizadas do sistema e usadas em 197 países, foram comprometidas por um malware recém-descoberto chamado Vo1d (também conhecido como Void). Esse malware backdoor incorpora seus componentes no armazenamento do sistema e pode baixar e instalar secretamente aplicativos de terceiros ao receber comandos de invasores.

A maioria das infecções foi identificada no Brasil, Marrocos, Paquistão, Arábia Saudita, Argentina, Rússia, Tunísia, Equador, Malásia, Argélia e Indonésia.

Vários Dispositivos foram Alvo do Ataque Vo1d

A fonte exata da infecção permanece obscura. Ainda assim, suspeita-se que ela tenha origem em um comprometimento anterior que permitiu que invasores obtivessem privilégios de root ou no uso de versões de firmware não oficiais com acesso root integrado.

Os seguintes modelos de TV foram alvos desta campanha:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

O ataque envolve a substituição do arquivo daemon '/system/bin/debuggerd' (o arquivo original é renomeado para 'debuggerd_real' como backup) e a adição de dois novos arquivos: '/system/xbin/vo1d' e '/system/xbin/wd'. Esses arquivos contêm o código fraudulento e são executados simultaneamente.

O Google observou que os modelos de TV afetados não eram dispositivos Android certificados pelo Play Protect e provavelmente usavam código-fonte do repositório Android Open Source Project (AOSP).

Os Cibercriminosos Modificaram Arquivos do Android para Distribuir Malware

Antes do Android 8.0, travamentos eram gerenciados pelos daemons debuggerd e debuggerd64, conforme observado na documentação do Android do Google. A partir do Android 8.0, 'crash_dump32' e 'crash_dump64' são gerados sob demanda.

Como parte da campanha de malware, dois arquivos que normalmente fazem parte do sistema operacional Android – install-recovery.sh e daemonsu – foram alterados para executar o malware iniciando o módulo 'wd'.

Pesquisadores de segurança cibernética sugerem que os autores do malware provavelmente tentaram disfarçar um de seus componentes como o programa de sistema '/system/bin/vold', nomeando-o 'vo1d', substituindo o 'l' minúsculo pelo número '1' para criar uma aparência semelhante.

O payload 'vo1d' inicia o módulo 'wd' e garante que ele permaneça ativo, enquanto também baixa e executa executáveis ao receber comandos de um servidor de comando e controle (C2). Além disso, ele monitora diretórios específicos, instalando quaisquer arquivos APK que encontrar.

Infelizmente, não é incomum que fabricantes de dispositivos de baixo custo usem versões de sistemas operacionais desatualizadas e as comercializem como mais recentes para fazer seus produtos parecerem mais atraentes.