Android.Vo1d Malware

Humigit-kumulang 1.3 milyong TV box na nakabatay sa Android, na tumatakbo sa mga lumang bersyon ng system at ginagamit sa 197 bansa, ang nakompromiso ng bagong natuklasang malware na tinatawag na Vo1d (kilala rin bilang Void). Ini-embed ng backdoor malware na ito ang mga bahagi nito sa storage ng system at maaaring patagong mag-download at mag-install ng mga application ng third-party kapag nakatanggap ng mga utos mula sa mga umaatake.

Karamihan sa mga impeksyon ay natukoy sa Brazil, Morocco, Pakistan, Saudi Arabia, Argentina, Russia, Tunisia, Ecuador, Malaysia, Algeria at Indonesia.

Maramihang Mga Device na Na-target ng Vo1d Attack

Ang eksaktong pinagmulan ng impeksyon ay nananatiling hindi maliwanag. Gayunpaman, pinaghihinalaang nagmumula ito sa alinman sa naunang kompromiso na nagpapahintulot sa mga umaatake na makakuha ng mga pribilehiyo sa ugat o ang paggamit ng hindi opisyal na mga bersyon ng firmware na may built-in na root access.

Ang mga sumusunod na modelo ng TV ay na-target sa kampanyang ito:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Ang pag-atake ay nagsasangkot ng pagpapalit ng '/system/bin/debuggerd' na daemon file (ang orihinal na file ay pinalitan ng pangalan sa 'debuggerd_real' bilang backup) at pagdaragdag ng dalawang bagong file: '/system/xbin/vo1d' at '/system/xbin/ wd.' Ang mga file na ito ay naglalaman ng mapanlinlang na code at tumatakbo nang sabay-sabay.

Napansin ng Google na ang mga apektadong modelo ng TV ay hindi Play Protect-certified na mga Android device at malamang na gumamit ng source code mula sa Android Open Source Project (AOSP) repository.

Binago ng mga Cybercriminal ang mga Android File para Maghatid ng Malware

Bago ang Android 8.0, ang mga pag-crash ay pinamamahalaan ng mga debugger at debuggerd64 na daemon, gaya ng nakasaad sa dokumentasyon ng Android ng Google. Simula sa Android 8.0, ang 'crash_dump32' at 'crash_dump64' ay nabuo on demand.

Bilang bahagi ng malware campaign, dalawang file na karaniwang bahagi ng operating system ng Android – install-recovery.sh at daemonsu – ay binago upang i-execute ang malware sa pamamagitan ng paglulunsad ng 'wd' module.

Iminumungkahi ng mga mananaliksik sa cybersecurity na malamang na sinubukan ng mga may-akda ng malware na itago ang isa sa mga bahagi nito bilang ang system program na '/system/bin/vold' sa pamamagitan ng pagpapangalan dito na 'vo1d,' na pinapalitan ang lowercase na 'l' ng numerong '1' upang lumikha ng katulad hitsura.

Sinisimulan ng 'vo1d' payload ang module na 'wd' at tinitiyak na mananatiling aktibo ito, habang nagda-download at nagpapatakbo din ng mga executable kapag natanggap ang mga command mula sa isang command-and-control (C2) server. Bukod pa rito, sinusubaybayan nito ang mga partikular na direktoryo, nag-i-install ng anumang mga APK file na nahanap nito.

Sa kasamaang palad, hindi pangkaraniwan para sa mga tagagawa ng device na may badyet na gumamit ng mga lumang bersyon ng OS at i-market ang mga ito bilang mas bago upang gawing mas kaakit-akit ang kanilang mga produkto.