Шкідливе програмне забезпечення Android.Vo1d

Приблизно 1,3 мільйона телеприставок на базі Android, які працюють на застарілих версіях системи та використовуються в 197 країнах, були скомпрометовані нещодавно виявленою шкідливою програмою під назвою Vo1d (також відомою як Void). Це бекдорне шкідливе програмне забезпечення вбудовує свої компоненти в системне сховище та може таємно завантажувати та встановлювати програми сторонніх розробників після отримання команд від зловмисників.

Найбільше заражень було виявлено в Бразилії, Марокко, Пакистані, Саудівській Аравії, Аргентині, Росії, Тунісі, Еквадорі, Малайзії, Алжирі та Індонезії.

Кілька пристроїв піддані атаці Vo1d

Точне джерело інфекції залишається неясним. Тим не менш, підозрюють, що це походить або від попереднього компромісу, який дозволив зловмисникам отримати привілеї root, або використання неофіційних версій прошивки з вбудованим root-доступом.

Цільовою кампанією були такі моделі телевізорів:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; збірка TV BOX/NHG47K)

Атака передбачає заміну файлу демона '/system/bin/debuggerd' (оригінальний файл перейменовано на 'debuggerd_real' як резервну) і додавання двох нових файлів: '/system/xbin/vo1d' і '/system/xbin/ wd.' Ці файли містять шахрайський код і працюють одночасно.

Google зазначив, що моделі телевізорів, які постраждали, не були пристроями Android, сертифікованими Play Protect, і, ймовірно, використовували вихідний код зі сховища Android Open Source Project (AOSP).

Кіберзлочинці модифікували файли Android для доставки зловмисного програмного забезпечення

До Android 8.0 збої керували демонами debuggerd і debuggerd64, як зазначено в документації Android Google. Починаючи з Android 8.0, "crash_dump32" і "crash_dump64" створюються на вимогу.

У рамках кампанії зловмисного програмного забезпечення два файли, які зазвичай є частиною операційної системи Android – install-recovery.sh і daemonsu – були змінені для запуску зловмисного програмного забезпечення шляхом запуску модуля «wd».

Дослідники з кібербезпеки припускають, що автори зловмисного ПЗ, ймовірно, намагалися замаскувати один із його компонентів під системну програму «/system/bin/vold», назвавши її «vo1d», замінивши нижню літеру «l» на цифру «1», щоб створити подібну зовнішній вигляд.

Корисне навантаження «vo1d» запускає модуль «wd» і забезпечує його активність, а також завантажує та запускає виконувані файли після отримання команд від сервера керування (C2). Крім того, він відстежує певні каталоги, встановлюючи знайдені файли APK.

На жаль, виробники бюджетних пристроїв нерідко використовують застарілі версії ОС і продають їх як новіші, щоб зробити свої продукти привабливішими.