Android.Vo1d 恶意软件

约 130 万台运行低版本系统、遍布 197 个国家的 Android 电视盒被一种新发现的恶意软件 Vo1d（又名 Void）感染。该后门恶意软件将其组件嵌入系统存储中，在收到攻击者的命令后可秘密下载并安装第三方应用程序。

感染病例最多的国家是巴西、摩洛哥、巴基斯坦、沙特阿拉伯、阿根廷、俄罗斯、突尼斯、厄瓜多尔、马来西亚、阿尔及利亚和印度尼西亚。

Vo1d 攻击针对多个设备

感染的确切来源尚不清楚。不过，人们怀疑它要么是之前被入侵导致攻击者获得 root 权限，要么是使用了内置 root 访问权限的非官方固件版本。

以下电视型号是此次攻击的目标：

• KJ-SMART4KVIP（Android 10.1；KJ-SMART4KVIP Build/NHG47K）
• R4（Android 7.1.2；R4 版本/NHG47K）
• 电视盒 (Android 12.1; 电视盒 Build/NHG47K)

攻击过程包括替换“/system/bin/debuggerd”守护进程文件（原文件重命名为“debuggerd_real”作为备份），并添加两个新文件“/system/xbin/vo1d”和“/system/xbin/wd”。这些文件包含欺诈代码并同时运行。

谷歌指出，受影响的电视型号不是经过 Play Protect 认证的 Android 设备，并且可能使用了来自 Android 开放源代码项目 (AOSP) 存储库的源代码。

网络犯罪分子修改 Android 文件以传播恶意软件

在 Android 8.0 之前，崩溃由 debuggerd 和 debuggerd64 守护进程管理，如 Google 的 Android 文档中所述。从 Android 8.0 开始，会根据需要生成“crash_dump32”和“crash_dump64”。

作为恶意软件活动的一部分，两个通常属于 Android 操作系统的文件 - install-recovery.sh 和 daemonsu - 被修改，通过启动“wd”模块来执行恶意软件。

网络安全研究人员表示，恶意软件作者可能试图将其某个组件伪装成系统程序“/system/bin/vold”，将其命名为“vo1d”，将小写字母“l”替换为数字“1”以创建类似的外观。

“vo1d”有效载荷启动“wd”模块并确保其保持活动状态，同时在收到来自命令和控制 (C2) 服务器的命令后下载并运行可执行文件。此外，它还监视特定目录，安装它找到的任何 APK 文件。

不幸的是，廉价设备制造商使用过时的操作系统版本并将其作为较新的版本进行营销以使其产品看起来更具吸引力的情况并不少见。