Android.Vo1d Вредоносное ПО

Около 1,3 миллиона телевизионных приставок на базе Android, работающих на устаревших версиях системы и используемых в 197 странах, были скомпрометированы недавно обнаруженным вредоносным ПО под названием Vo1d (также известным как Void). Это бэкдор-вредоносное ПО внедряет свои компоненты в системное хранилище и может скрытно загружать и устанавливать сторонние приложения по командам от злоумышленников.

Больше всего случаев заражения зафиксировано в Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, России, Тунисе, Эквадоре, Малайзии, Алжире и Индонезии.

Атака Vo1d затронула несколько устройств

Точный источник заражения остается неясным. Тем не менее, есть подозрения, что это произошло либо из-за предыдущей компрометации, которая позволила злоумышленникам получить привилегии root, либо из-за использования неофициальных версий прошивки со встроенным доступом root.

В данной кампании были охвачены следующие модели телевизоров:

• KJ-SMART4KVIP (Android 10.1; Сборка KJ-SMART4KVIP/NHG47K)
• R4 (Android 7.1.2; сборка R4/NHG47K)
• TV BOX (Android 12.1; сборка TV BOX/NHG47K)

Атака включает замену файла демона '/system/bin/debuggerd' (исходный файл переименовывается в 'debuggerd_real' в качестве резервной копии) и добавление двух новых файлов: '/system/xbin/vo1d' и '/system/xbin/wd'. Эти файлы содержат мошеннический код и запускаются одновременно.

Google отметила, что затронутые модели телевизоров не являются устройствами Android с сертификатом Play Protect и, вероятно, используют исходный код из репозитория Android Open Source Project (AOSP).

Киберпреступники модифицировали файлы Android для доставки вредоносного ПО

До Android 8.0 сбои управлялись демонами debuggerd и debuggerd64, как отмечено в документации Android от Google. Начиная с Android 8.0, «crash_dump32» и «crash_dump64» создаются по требованию.

В рамках вредоносной кампании два файла, которые обычно являются частью операционной системы Android — install-recovery.sh и daemonsu — были изменены для выполнения вредоносного ПО путем запуска модуля «wd».

Исследователи кибербезопасности предполагают, что авторы вредоносного ПО, вероятно, попытались замаскировать один из своих компонентов под системную программу «/system/bin/vold», назвав его «vo1d», заменив строчную букву «l» цифрой «1» для создания схожего внешнего вида.

Полезная нагрузка 'vo1d' запускает модуль 'wd' и следит за тем, чтобы он оставался активным, а также загружает и запускает исполняемые файлы при получении команд от сервера управления и контроля (C2). Кроме того, он отслеживает определенные каталоги, устанавливая любые файлы APK, которые он находит.

К сожалению, производители бюджетных устройств нередко используют устаревшие версии ОС и рекламируют их как более новые, чтобы сделать свою продукцию более привлекательной.