Phần mềm độc hại Android.Vo1d

Khoảng 1,3 triệu hộp TV chạy Android, hoạt động trên các phiên bản hệ thống lỗi thời và được sử dụng trên 197 quốc gia, đã bị xâm nhập bởi một phần mềm độc hại mới được phát hiện có tên là Vo1d (còn được gọi là Void). Phần mềm độc hại cửa sau này nhúng các thành phần của nó vào bộ lưu trữ hệ thống và có thể bí mật tải xuống và cài đặt các ứng dụng của bên thứ ba khi nhận được lệnh từ kẻ tấn công.

Hầu hết các ca nhiễm bệnh được phát hiện ở Brazil, Morocco, Pakistan, Ả Rập Xê Út, Argentina, Nga, Tunisia, Ecuador, Malaysia, Algeria và Indonesia.

Nhiều thiết bị bị tấn công Vo1d

Nguồn lây nhiễm chính xác vẫn chưa rõ ràng. Tuy nhiên, người ta nghi ngờ nó xuất phát từ một sự xâm phạm trước đó cho phép kẻ tấn công có được quyền root hoặc sử dụng các phiên bản phần mềm không chính thức có quyền truy cập root tích hợp.

Các mẫu TV sau đây là mục tiêu của chiến dịch này:

• KJ-SMART4KVIP (Android 10.1; Bản dựng KJ-SMART4KVIP/NHG47K)
• R4 (Android 7.1.2; Bản dựng R4/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Cuộc tấn công bao gồm việc thay thế tệp daemon '/system/bin/debuggerd' (tệp gốc được đổi tên thành 'debuggerd_real' để sao lưu) và thêm hai tệp mới: '/system/xbin/vo1d' và '/system/xbin/wd.' Các tệp này chứa mã gian lận và chạy đồng thời.

Google lưu ý rằng các mẫu TV bị ảnh hưởng không phải là thiết bị Android được chứng nhận Play Protect và có khả năng sử dụng mã nguồn từ kho lưu trữ Dự án nguồn mở Android (AOSP).

Tội phạm mạng đã sửa đổi các tập tin Android để phân phối phần mềm độc hại

Trước Android 8.0, sự cố được quản lý bởi daemon debuggerd và debuggerd64, như đã lưu ý trong tài liệu Android của Google. Bắt đầu từ Android 8.0, 'crash_dump32' và 'crash_dump64' được tạo ra theo yêu cầu.

Là một phần của chiến dịch phần mềm độc hại, hai tệp thường là một phần của hệ điều hành Android – install-recovery.sh và daemonsu – đã bị thay đổi để thực thi phần mềm độc hại bằng cách khởi chạy mô-đun 'wd'.

Các nhà nghiên cứu an ninh mạng cho rằng tác giả phần mềm độc hại có thể đã cố gắng ngụy trang một trong các thành phần của nó thành chương trình hệ thống '/system/bin/vold' bằng cách đặt tên là 'vo1d', thay thế chữ 'l' thường bằng số '1' để tạo ra giao diện tương tự.

Tải trọng 'vo1d' khởi động mô-đun 'wd' và đảm bảo mô-đun này vẫn hoạt động, đồng thời tải xuống và chạy các tệp thực thi khi nhận được lệnh từ máy chủ chỉ huy và điều khiển (C2). Ngoài ra, nó giám sát các thư mục cụ thể, cài đặt bất kỳ tệp APK nào mà nó tìm thấy.

Thật không may, các nhà sản xuất thiết bị giá rẻ thường sử dụng các phiên bản hệ điều hành lỗi thời và tiếp thị chúng như là phiên bản mới hơn để làm cho sản phẩm của họ có vẻ hấp dẫn hơn.