Téměř 1,3 milionu TV boxů s Androidem, které běží na zastaralých verzích operačního systému a patří uživatelům z 197 zemí, bylo infikováno novým malwarem nazvaným Vo1d (také známý jako Void).
„Jedná se o backdoor, který umisťuje své komponenty do systémové úložné oblasti a na příkaz útočníků je schopen tajně stahovat a instalovat software třetích stran,“ uvedl ruský antivirový dodavatel Doctor Web ve zprávě.
Většina infekcí byla zjištěna v Brazílii, Maroku, Pákistánu, Saúdské Arábii, Argentině, Rusku, Tunisku, Ekvádoru, Malajsii, Alžírsku a Indonésii.
V současné době není známo, jaký je zdroj infekce, ačkoli se předpokládá, že mohlo jít buď o předchozí kompromitaci, která umožňuje získání root oprávnění, nebo o použití neoficiálních verzí firmwaru s vestavěným root přístupem.
Následující modely TV byly cílem kampaně:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
- R4 (Android 7.1.2; R4 Build/NHG47K)
- TV BOX (Android 12.1; TV BOX Build/NHG47K)
Útok zahrnuje nahrazení souboru démona „/system/bin/debuggerd“ (původní soubor je přesunut do záložního souboru nazvaného „debuggerd_real“) a zavedení dvou nových souborů – „/system/xbin/vo1d“ a „/system/xbin/wd“ – které obsahují škodlivý kód a pracují současně.
„Před Androidem 8.0 byly pády řešeny démony debuggerd a debuggerd64,“ poznamenává Google ve své dokumentaci k Androidu. „V Androidu 8.0 a vyšších jsou podle potřeby spouštěny crash_dump32 a crash_dump64.“
Dva různé soubory dodávané jako součást operačního systému Android – install-recovery.sh a daemonsu – byly v rámci kampaně upraveny tak, aby spouštěly malware spuštěním modulu „wd“.
„Autoři trojanu se pravděpodobně pokusili zamaskovat jednu z jeho komponent jako systémový program ‚/system/bin/vold‘, přičemž ji nazvali podobně vypadajícím názvem ‚vo1d‘ (zaměnili malé písmeno ‚l‘ za číslo ‚1‘),“ uvedl Doctor Web.
Náklad „vo1d“ následně spouští „wd“ a zajišťuje jeho trvalý běh, zatímco také stahuje a spouští spustitelné soubory, když je to nařízeno serverem pro příkazy a řízení (C2). Dále sleduje specifikované adresáře a instaluje APK soubory, které v nich najde.
„Bohužel není neobvyklé, že výrobci levných zařízení využívají starší verze OS a vydávají je za novější, aby byly atraktivnější,“ uvedla společnost.
Google sdělil, že infikované modely TV nebyly certifikovanými zařízeními Android s Play Protect a pravděpodobně používaly zdrojový kód z repozitáře Android Open Source Project.
Zdroj: thehackernews.com