Android.Vo1d Malware

Cirka 1,3 millioner Android-baserede tv-bokse, der fungerer på forældede systemversioner og bruges i 197 lande, er blevet kompromitteret af en nyopdaget malware kaldet Vo1d (også kendt som Void). Denne bagdørs-malware indlejrer dens komponenter i systemlageret og kan hemmeligt downloade og installere tredjepartsapplikationer ved modtagelse af kommandoer fra angribere.

De fleste infektioner er blevet identificeret i Brasilien, Marokko, Pakistan, Saudi-Arabien, Argentina, Rusland, Tunesien, Ecuador, Malaysia, Algeriet og Indonesien.

Flere enheder målrettet af Vo1d-angrebet

Den nøjagtige kilde til infektionen er stadig uklar. Alligevel mistænkes det for at stamme fra enten et tidligere kompromis, der tillod angribere at opnå root-privilegier eller brugen af uofficielle firmwareversioner med indbygget root-adgang.

Følgende tv-modeller er blevet målrettet i denne kampagne:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Angrebet involverer udskiftning af '/system/bin/debuggerd'-dæmonfilen (den originale fil omdøbes til 'debuggerd_real' som en sikkerhedskopi) og tilføjelse af to nye filer: '/system/xbin/vo1d' og '/system/xbin/ wd.' Disse filer indeholder den svigagtige kode og kører samtidig.

Google bemærkede, at de berørte tv-modeller ikke var Play Protect-certificerede Android-enheder og sandsynligvis brugte kildekode fra Android Open Source Project (AOSP) repository.

Cyberkriminelle ændrede Android-filer for at levere malware

Før Android 8.0 blev nedbrud administreret af debuggerd- og debuggerd64-dæmonerne, som nævnt i Googles Android-dokumentation. Fra og med Android 8.0 affødes 'crash_dump32' og 'crash_dump64' efter behov.

Som en del af malware-kampagnen blev to filer, der typisk er en del af Android-operativsystemet – install-recovery.sh og daemonsu – ændret til at udføre malwaren ved at starte 'wd'-modulet.

Cybersikkerhedsforskere foreslår, at malware-forfatterne sandsynligvis forsøgte at skjule en af dens komponenter som systemprogrammet '/system/bin/vold' ved at navngive det 'vo1d', og erstatte det lille 'l' med tallet '1' for at skabe en lignende udseende.

'vo1d'-nyttelasten starter 'wd'-modulet og sørger for, at det forbliver aktivt, mens det også downloader og kører eksekverbare filer ved modtagelse af kommandoer fra en kommando-og-kontrol-server (C2). Derudover overvåger den specifikke mapper og installerer alle APK-filer, den finder.

Desværre er det ikke usædvanligt for lavprisenhedsproducenter at bruge forældede OS-versioner og markedsføre dem som nyere for at få deres produkter til at virke mere tiltalende.