Téměř 1,3 milionu TV boxů s Androidem, které běží na zastaralých verzích operačního systému a patří uživatelům z 197 zemí, bylo infikováno novým malwarem nazvaným Vo1d (také známý jako Void).

„Jedná se o backdoor, který umisťuje své komponenty do systémové úložné oblasti a na příkaz útočníků je schopen tajně stahovat a instalovat software třetích stran,“ uvedl ruský antivirový dodavatel Doctor Web ve zprávě.

Většina infekcí byla zjištěna v Brazílii, Maroku, Pákistánu, Saúdské Arábii, Argentině, Rusku, Tunisku, Ekvádoru, Malajsii, Alžírsku a Indonésii.

V současné době není známo, jaký je zdroj infekce, ačkoli se předpokládá, že mohlo jít buď o předchozí kompromitaci, která umožňuje získání root oprávnění, nebo o použití neoficiálních verzí firmwaru s vestavěným root přístupem.

Následující modely TV byly cílem kampaně:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4 Build/NHG47K)
• TV BOX (Android 12.1; TV BOX Build/NHG47K)

Útok zahrnuje nahrazení souboru démona „/system/bin/debuggerd“ (původní soubor je přesunut do záložního souboru nazvaného „debuggerd_real“) a zavedení dvou nových souborů – „/system/xbin/vo1d“ a „/system/xbin/wd“ – které obsahují škodlivý kód a pracují současně.

„Před Androidem 8.0 byly pády řešeny démony debuggerd a debuggerd64,“ poznamenává Google ve své dokumentaci k Androidu. „V Androidu 8.0 a vyšších jsou podle potřeby spouštěny crash_dump32 a crash_dump64.“

Dva různé soubory dodávané jako součást operačního systému Android – install-recovery.sh a daemonsu – byly v rámci kampaně upraveny tak, aby spouštěly malware spuštěním modulu „wd“.

„Autoři trojanu se pravděpodobně pokusili zamaskovat jednu z jeho komponent jako systémový program ‘/system/bin/vold’, přičemž ji nazvali podobně vypadajícím názvem ‘vo1d’ (zaměnili malé písmeno ‘l’ za číslo ‘1’),“ uvedl Doctor Web.

Náklad „vo1d“ následně spouští „wd“ a zajišťuje jeho trvalý běh, zatímco také stahuje a spouští spustitelné soubory, když je to nařízeno serverem pro příkazy a řízení (C2). Dále sleduje specifikované adresáře a instaluje APK soubory, které v nich najde.

„Bohužel není neobvyklé, že výrobci levných zařízení využívají starší verze OS a vydávají je za novější, aby byly atraktivnější,“ uvedla společnost.

Google sdělil, že infikované modely TV nebyly certifikovanými zařízeními Android s Play Protect a pravděpodobně používaly zdrojový kód z repozitáře Android Open Source Project.

Zdroj: thehackernews.com