Android.Vo1d Kötü Amaçlı Yazılım

Güncel olmayan sistem sürümlerinde çalışan ve 197 ülkede kullanılan yaklaşık 1,3 milyon Android tabanlı TV kutusu, Vo1d (Void olarak da bilinir) adlı yeni keşfedilen bir kötü amaçlı yazılım tarafından tehlikeye atıldı. Bu arka kapı kötü amaçlı yazılımı, bileşenlerini sistem depolama alanına yerleştirir ve saldırganlardan komutlar aldıktan sonra üçüncü taraf uygulamaları gizlice indirebilir ve yükleyebilir.

En çok vakanın Brezilya, Fas, Pakistan, Suudi Arabistan, Arjantin, Rusya, Tunus, Ekvador, Malezya, Cezayir ve Endonezya'da görüldüğü belirtildi.

Vo1d Saldırısı Tarafından Hedeflenen Birden Fazla Cihaz

Enfeksiyonun kesin kaynağı henüz belirsizliğini koruyor. Yine de, saldırganların kök ayrıcalıkları elde etmesine izin veren önceki bir uzlaşmadan veya yerleşik kök erişimi olan resmi olmayan aygıt yazılımı sürümlerinin kullanımından kaynaklandığı düşünülüyor.

Bu kampanyada hedeflenen TV modelleri şunlardır:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Yapı/NHG47K)
• R4 (Android 7.1.2; R4 Yapısı/NHG47K)
• TV BOX (Android 12.1; TV BOX Yapısı/NHG47K)

Saldırı, '/system/bin/debuggerd' daemon dosyasının değiştirilmesini (orijinal dosya yedek olarak 'debuggerd_real' olarak yeniden adlandırıldı) ve iki yeni dosyanın eklenmesini içeriyor: '/system/xbin/vo1d' ve '/system/xbin/wd.' Bu dosyalar sahte kodu içeriyor ve eş zamanlı olarak çalışıyor.

Google, etkilenen TV modellerinin Play Protect sertifikalı Android cihazlar olmadığını ve büyük olasılıkla Android Açık Kaynak Projesi (AOSP) deposundaki kaynak kodunu kullandığını belirtti.

Siber Suçlular Kötü Amaçlı Yazılım Yaymak İçin Android Dosyalarını Değiştirdi

Android 8.0'dan önce, çökmeler Google'ın Android belgelerinde belirtildiği gibi debuggerd ve debuggerd64 daemon'ları tarafından yönetiliyordu. Android 8.0'dan başlayarak, 'crash_dump32' ve 'crash_dump64' talep üzerine oluşturuluyor.

Kötü amaçlı yazılım kampanyasının bir parçası olarak, Android işletim sisteminin genellikle bir parçası olan iki dosya (install-recovery.sh ve daemonsu), 'wd' modülünü başlatarak kötü amaçlı yazılımı çalıştırmak üzere değiştirildi.

Siber güvenlik araştırmacıları, kötü amaçlı yazılımın geliştiricilerinin, '/system/bin/vold' sistem programı bileşenlerinden birini 'vo1d' olarak adlandırarak gizlemeye çalıştıklarını ve benzer bir görünüm oluşturmak için küçük harfli 'l' harfini '1' rakamıyla değiştirdiklerini öne sürüyor.

'vo1d' yükü 'wd' modülünü başlatır ve etkin kalmasını sağlarken, aynı zamanda bir komut ve kontrol (C2) sunucusundan komutlar aldığında yürütülebilir dosyaları indirir ve çalıştırır. Ek olarak, belirli dizinleri izler ve bulduğu tüm APK dosyalarını yükler.

Ne yazık ki, düşük bütçeli cihaz üreticilerinin ürünlerini daha çekici göstermek için eski işletim sistemi sürümlerini kullanıp bunları daha yeniymiş gibi pazarlamaları alışılmadık bir durum değil.