Android.Vo1d skadlig programvara

Ungefär 1,3 miljoner Android-baserade TV-boxar, som fungerar på föråldrade systemversioner och används i 197 länder, har äventyrats av en nyupptäckt skadlig programvara som heter Vo1d (även känd som Void). Denna bakdörr skadliga programvara bäddar in sina komponenter i systemlagringen och kan i hemlighet ladda ner och installera tredjepartsapplikationer när de tar emot kommandon från angripare.

De flesta infektioner har identifierats i Brasilien, Marocko, Pakistan, Saudiarabien, Argentina, Ryssland, Tunisien, Ecuador, Malaysia, Algeriet och Indonesien.

Flera enheter inriktade på Vo1d-attacken

Den exakta källan till infektionen är fortfarande oklart. Ändå misstänks det bero på antingen en tidigare kompromiss som gjorde det möjligt för angripare att få root-privilegier eller användningen av inofficiella firmwareversioner med inbyggd root-åtkomst.

Följande tv-modeller har riktats in i den här kampanjen:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Attacken innebär att '/system/bin/debuggerd'-demonfilen ersätts (originalfilen döps om till 'debuggerd_real' som en säkerhetskopia) och lägger till två nya filer: '/system/xbin/vo1d' och '/system/xbin/ wd.' Dessa filer innehåller den bedrägliga koden och körs samtidigt.

Google noterade att de berörda TV-modellerna inte var Play Protect-certifierade Android-enheter och troligen använde källkod från Android Open Source Project (AOSP)-förrådet.

Cyberbrottslingarna modifierade Android-filer för att leverera skadlig programvara

Innan Android 8.0 hanterades krascher av debuggerd- och debuggerd64-demonerna, som noteras i Googles Android-dokumentation. Från och med Android 8.0 skapas 'crash_dump32' och 'crash_dump64' på begäran.

Som en del av malware-kampanjen ändrades två filer som vanligtvis är en del av Android-operativsystemet – install-recovery.sh och daemonsu – för att köra skadlig programvara genom att starta "wd"-modulen.

Cybersäkerhetsforskare föreslår att skadlig programvara sannolikt försökte dölja en av dess komponenter som systemprogrammet '/system/bin/vold' genom att namnge det 'vo1d', och ersätta det gemena 'l' med siffran '1' för att skapa en liknande utseende.

'vo1d' nyttolasten startar 'wd'-modulen och ser till att den förblir aktiv, samtidigt som den laddar ner och kör körbara filer vid mottagande av kommandon från en kommando-och-kontroll-server (C2). Dessutom övervakar den specifika kataloger och installerar alla APK-filer som den hittar.

Tyvärr är det inte ovanligt att tillverkare av budgetenheter använder föråldrade OS-versioner och marknadsför dem som nyare för att få deras produkter att verka mer tilltalande.