البرامج الخبيثة Android.Vo1d

تم اختراق ما يقرب من 1.3 مليون جهاز تلفاز يعمل بنظام أندرويد، يعمل بإصدارات أنظمة قديمة ويستخدم في 197 دولة، بواسطة برنامج ضار تم اكتشافه حديثًا يسمى Vo1d (المعروف أيضًا باسم Void). يقوم هذا البرنامج الخبيث الخلفي بتضمين مكوناته في وحدة تخزين النظام ويمكنه تنزيل وتثبيت تطبيقات الطرف الثالث سراً عند تلقي أوامر من المهاجمين.

تم تحديد معظم الإصابات في البرازيل والمغرب وباكستان والمملكة العربية السعودية والأرجنتين وروسيا وتونس والإكوادور وماليزيا والجزائر وإندونيسيا.

أجهزة متعددة مستهدفة بهجوم Vo1d

لا يزال المصدر الدقيق للعدوى غير واضح. ومع ذلك، يُشتبه في أنها ناجمة عن اختراق سابق سمح للمهاجمين بالحصول على امتيازات الجذر أو استخدام إصدارات غير رسمية من البرامج الثابتة مع إمكانية الوصول إلى الجذر المضمنة.

تم استهداف نماذج التلفزيون التالية في هذه الحملة:

• KJ-SMART4KVIP (أندرويد 10.1؛ إصدار KJ-SMART4KVIP/NHG47K)
• R4 (أندرويد 7.1.2؛ إصدار R4/NHG47K)
• صندوق تلفزيون (أندرويد 12.1؛ إصدار صندوق تلفزيون/NHG47K)

يتضمن الهجوم استبدال ملف الديمون '/system/bin/debuggerd' (يتم تغيير اسم الملف الأصلي إلى 'debuggerd_real' كنسخة احتياطية) وإضافة ملفين جديدين: '/system/xbin/vo1d' و'/system/xbin/wd'. يحتوي هذان الملفان على الكود الاحتيالي ويتم تشغيلهما في نفس الوقت.

وأشارت جوجل إلى أن نماذج التلفزيون المتأثرة لم تكن أجهزة Android معتمدة من Play Protect ومن المحتمل أنها استخدمت كود المصدر من مستودع Android Open Source Project (AOSP).

قام مجرمو الإنترنت بتعديل ملفات Android لنشر البرامج الضارة

قبل Android 8.0، كانت الأعطال تُدار بواسطة برنامجي debuggerd وdebuggerd64، كما هو موضح في وثائق Android الخاصة بشركة Google. بدءًا من Android 8.0، يتم إنشاء "crash_dump32" و"crash_dump64" عند الطلب.

وكجزء من حملة البرمجيات الخبيثة، تم تعديل ملفين يعتبران عادةً جزءًا من نظام التشغيل Android – install-recovery.sh وdaemonsu – لتنفيذ البرمجيات الخبيثة من خلال تشغيل وحدة "wd".

ويشير باحثو الأمن السيبراني إلى أن مؤلفي البرمجيات الخبيثة ربما حاولوا إخفاء أحد مكوناتها على أنه برنامج النظام '/system/bin/vold' من خلال تسميته "vo1d"، واستبدال الحرف الصغير 'l' بالرقم '1' لإنشاء مظهر مماثل.

تبدأ الحمولة "vo1d" وحدة "wd" وتتأكد من بقائها نشطة، بينما تقوم أيضًا بتنزيل وتشغيل الملفات القابلة للتنفيذ عند تلقي الأوامر من خادم الأوامر والتحكم (C2). بالإضافة إلى ذلك، تقوم بمراقبة الدلائل المحددة، وتثبيت أي ملفات APK تجدها.

لسوء الحظ، ليس من غير المعتاد أن يستخدم مصنعو الأجهزة ذات الميزانية المحدودة إصدارات قديمة من أنظمة التشغيل ويقومون بتسويقها على أنها أحدث لجعل منتجاتهم تبدو أكثر جاذبية.