Андроид.Во1д Малваре

Отприлике 1,3 милиона ТВ кутија заснованих на Андроиду, које раде на застарелим верзијама система и користе се у 197 земаља, компромитовано је новооткривеним малвером под називом Во1д (познат и као Воид). Овај позадински злонамерни софтвер уграђује своје компоненте у системску меморију и може тајно да преузима и инсталира апликације трећих страна након што прими команде од нападача.

Највише инфекција је идентификовано у Бразилу, Мароку, Пакистану, Саудијској Арабији, Аргентини, Русији, Тунису, Еквадору, Малезији, Алжиру и Индонезији.

Више уређаја на мети напада Во1д

Тачан извор инфекције остаје нејасан. Ипак, сумња се да произилази или из претходног компромиса који је омогућио нападачима да стекну роот привилегије или употребе незваничних верзија фирмвера са уграђеним роот приступом.

У овој кампањи циљани су следећи модели телевизора:

• КЈ-СМАРТ4КВИП (Андроид 10.1; КЈ-СМАРТ4КВИП Буилд/НХГ47К)
• Р4 (Андроид 7.1.2; Р4 Буилд/НХГ47К)
• ТВ БОКС (Андроид 12.1; ТВ БОКС Буилд/НХГ47К)

Напад укључује замену демонске датотеке '/систем/бин/дебуггерд' (оригинална датотека је преименована у 'дебуггерд_реал' као резервна копија) и додавање две нове датотеке: '/систем/кбин/во1д' и '/систем/кбин/ вд.' Ове датотеке садрже лажни код и покрећу се истовремено.

Гоогле је приметио да погођени модели телевизора нису Андроид уређаји са сертификовањем Плаи Протецт-а и да су вероватно користили изворни код из складишта Андроид Опен Соурце Пројецт (АОСП).

Сајбер криминалци су модификовали Андроид датотеке да би испоручили малвер

Пре Андроида 8.0, падовима су управљали демони дебуггерд и дебуггерд64, као што је наведено у Гоогле-овој Андроид документацији. Почевши од Андроид 8.0, „црасх_думп32“ и „црасх_думп64“ се стварају на захтев.

Као део кампање против малвера, две датотеке које су обично део Андроид оперативног система – инсталл-рецовери.сх и даемонсу – су измењене да изврше малвер покретањем 'вд' модула.

Истраживачи сајбер-безбедности сугеришу да су аутори малвера вероватно покушали да прикрију једну од његових компоненти у системски програм „/систем/бин/волд“ тако што су га назвали „во1д“, замењујући мало слово „л“ бројем „1“ како би створили сличан изглед.

Корисно оптерећење 'во1д' покреће модул 'вд' и осигурава да остане активан, док такође преузима и покреће извршне датотеке по пријему команди са сервера за команду и контролу (Ц2). Поред тога, надгледа одређене директоријуме, инсталирајући све АПК датотеке које пронађе.

Нажалост, није необично да произвођачи јефтиних уређаја користе застареле верзије ОС-а и продају их као новије како би њихови производи изгледали привлачнији.