Škodlivý softvér Android.Vo1d
Približne 1,3 milióna TV prijímačov so systémom Android, ktoré fungujú na zastaraných verziách systému a používajú sa v 197 krajinách, bolo napadnutých novoobjaveným malvérom s názvom Vo1d (známy aj ako Void). Tento backdoor malvér vkladá svoje komponenty do systémového úložiska a môže skryto sťahovať a inštalovať aplikácie tretích strán po prijatí príkazov od útočníkov.
Najviac infekcií bolo identifikovaných v Brazílii, Maroku, Pakistane, Saudskej Arábii, Argentíne, Rusku, Tunisku, Ekvádore, Malajzii, Alžírsku a Indonézii.
Útok Vo1d je zameraný na viacero zariadení
Presný zdroj nákazy zostáva nejasný. Napriek tomu existuje podozrenie, že pochádza buď z predchádzajúceho kompromisu, ktorý útočníkom umožnil získať oprávnenia root, alebo z používania neoficiálnych verzií firmvéru so vstavaným prístupom root.
V tejto kampani boli zacielené nasledujúce modely televízorov:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
- R4 (Android 7.1.2; R4 Build/NHG47K)
- TV BOX (Android 12.1; zostava TV BOX/NHG47K)
Útok zahŕňa nahradenie súboru démona '/system/bin/debuggerd' (pôvodný súbor je premenovaný na 'debuggerd_real' ako záloha) a pridanie dvoch nových súborov: '/system/xbin/vo1d' a '/system/xbin/ wd.' Tieto súbory obsahujú podvodný kód a spúšťajú sa súbežne.
Google poznamenal, že dotknuté modely televízorov neboli zariadeniami Android s certifikáciou Play Protect a pravdepodobne použili zdrojový kód z úložiska Android Open Source Project (AOSP).
Kyberzločinci upravili súbory Android tak, aby doručovali malvér
Pred Androidom 8.0 boli zlyhania riadené démonmi debuggerd a debuggerd64, ako je uvedené v dokumentácii Androidu od spoločnosti Google. Počnúc systémom Android 8.0 sa „crash_dump32“ a „crash_dump64“ vytvárajú na požiadanie.
V rámci kampane proti malvéru boli dva súbory, ktoré sú zvyčajne súčasťou operačného systému Android – install-recovery.sh a daemonsu – zmenené tak, aby spúšťali malvér spustením modulu „wd“.
Výskumníci v oblasti kybernetickej bezpečnosti naznačujú, že autori malvéru sa pravdepodobne pokúsili zamaskovať jeden z jeho komponentov ako systémový program „/system/bin/vold“ tým, že ho pomenovali „vo1d“, pričom malé písmená „l“ nahradili číslom „1“, čím vytvorili podobný vzhľad.
Užitočné zaťaženie 'vo1d' spúšťa modul 'wd' a zabezpečuje, aby zostal aktívny, pričom zároveň sťahuje a spúšťa spustiteľné súbory po prijatí príkazov zo servera príkazov a ovládania (C2). Okrem toho monitoruje konkrétne adresáre a inštaluje všetky nájdené súbory APK.
Bohužiaľ, nie je nezvyčajné, že výrobcovia lacných zariadení používajú zastarané verzie OS a uvádzajú ich na trh ako novšie, aby sa ich produkty zdali príťažlivejšie.