Android.Vo1d มัลแวร์

กล่องทีวีที่ใช้ระบบปฏิบัติการ Android ประมาณ 1.3 ล้านกล่องซึ่งทำงานบนเวอร์ชันระบบที่ล้าสมัยและใช้งานใน 197 ประเทศ ถูกโจมตีโดยมัลแวร์ที่เพิ่งค้นพบใหม่ที่เรียกว่า Vo1d (หรือเรียกอีกอย่างว่า Void) มัลแวร์แบ็กดอร์นี้ฝังส่วนประกอบไว้ในที่จัดเก็บข้อมูลระบบและสามารถดาวน์โหลดและติดตั้งแอปพลิเคชันของบุคคลที่สามอย่างลับๆ เมื่อได้รับคำสั่งจากผู้โจมตี

พบการติดเชื้อส่วนใหญ่ในบราซิล โมร็อกโก ปากีสถาน ซาอุดีอาระเบีย อาร์เจนตินา รัสเซีย ตูนิเซีย เอกวาดอร์ มาเลเซีย แอลจีเรีย และอินโดนีเซีย

อุปกรณ์หลายเครื่องถูกโจมตีโดย Vo1d

แหล่งที่มาที่แน่ชัดของการติดเชื้อยังคงไม่ชัดเจน อย่างไรก็ตาม คาดว่าน่าจะมาจากการบุกรุกก่อนหน้านี้ที่ทำให้ผู้โจมตีได้รับสิทธิ์รูทหรือการใช้เฟิร์มแวร์เวอร์ชันที่ไม่เป็นทางการพร้อมสิทธิ์รูทในตัว

รุ่นทีวีต่อไปนี้ได้รับการกำหนดเป้าหมายในแคมเปญนี้:

• KJ-SMART4KVIP (ระบบปฏิบัติการแอนดรอยด์ 10.1; รุ่น KJ-SMART4KVIP/NHG47K)
• R4 (แอนดรอยด์ 7.1.2; R4 รุ่น/NHG47K)
• กล่องทีวี (Android 12.1; กล่องทีวีบิลด์/NHG47K)

การโจมตีเกี่ยวข้องกับการแทนที่ไฟล์ daemon '/system/bin/debuggerd' (ไฟล์เดิมเปลี่ยนชื่อเป็น 'debuggerd_real' เพื่อเป็นการสำรองข้อมูล) และเพิ่มไฟล์ใหม่สองไฟล์: '/system/xbin/vo1d' และ '/system/xbin/wd' ไฟล์เหล่านี้มีโค้ดหลอกลวงและทำงานพร้อมกัน

Google ระบุว่ารุ่นทีวีที่ได้รับผลกระทบไม่ใช่อุปกรณ์ Android ที่ได้รับการรับรอง Play Protect และน่าจะใช้โค้ดต้นฉบับจากที่เก็บ Android Open Source Project (AOSP)

อาชญากรไซเบอร์แก้ไขไฟล์ Android เพื่อส่งมัลแวร์

ก่อน Android 8.0 ข้อผิดพลาดจะถูกจัดการโดยเดมอน debuggerd และ debuggerd64 ตามที่ระบุไว้ในเอกสาร Android ของ Google เริ่มตั้งแต่ Android 8.0 เป็นต้นไป 'crash_dump32' และ 'crash_dump64' จะเกิดขึ้นตามต้องการ

ในฐานะส่วนหนึ่งของแคมเปญมัลแวร์ ไฟล์สองไฟล์ที่โดยปกติเป็นส่วนหนึ่งของระบบปฏิบัติการ Android – install-recovery.sh และ daemonsu – ได้ถูกเปลี่ยนแปลงเพื่อดำเนินการมัลแวร์โดยเปิดโมดูล 'wd'

นักวิจัยด้านความปลอดภัยทางไซเบอร์ชี้ให้เห็นว่าผู้เขียนมัลแวร์น่าจะพยายามปลอมตัวส่วนประกอบหนึ่งของมัลแวร์ให้เป็นโปรแกรมระบบ '/system/bin/vold' โดยตั้งชื่อว่า 'vo1d' โดยแทนที่ตัวพิมพ์เล็ก 'l' ด้วยตัวเลข '1' เพื่อให้มีลักษณะที่คล้ายคลึงกัน

เพย์โหลด 'vo1d' จะเริ่มการทำงานของโมดูล 'wd' และตรวจสอบให้แน่ใจว่าโมดูลยังคงทำงานอยู่ ขณะเดียวกันก็ดาวน์โหลดและรันไฟล์ปฏิบัติการเมื่อได้รับคำสั่งจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) นอกจากนี้ ยังตรวจสอบไดเร็กทอรีเฉพาะและติดตั้งไฟล์ APK ที่พบ

น่าเสียดายที่ไม่ใช่เรื่องแปลกที่ผู้ผลิตอุปกรณ์ที่มีราคาประหยัดจะใช้เวอร์ชันระบบปฏิบัติการที่ล้าสมัยและทำการตลาดโดยอ้างว่าเป็นเวอร์ชันใหม่กว่าเพื่อให้ผลิตภัณฑ์ของตนดูน่าดึงดูดใจมากขึ้น