Bijna 1,3 miljoen Android-tv-boxen met verouderde versies van het besturingssysteem en eigendom van gebruikers in 197 landen, zijn geïnfecteerd met een nieuwe malware genaamd Vo1d (ook bekend als Void).
“Het is een achterdeurtje dat zijn componenten in de opslagruimte van het systeem plaatst en dat, wanneer aanvallers daartoe opdracht geven, in het geheim software van derden kan downloaden en installeren”, aldus de Russische antivirusleverancier Doctor Web in een vandaag gepubliceerd rapport.
De meeste infecties zijn vastgesteld in Brazilië, Marokko, Pakistan, Saoedi-Arabië, Argentinië, Rusland, Tunesië, Ecuador, Maleisië, Algerije en Indonesië.
Momenteel is niet bekend wat de bron van de infectie is, maar het vermoeden bestaat dat het te maken heeft met een eerdere aanval waarmee root-rechten konden worden verkregen of met het gebruik van niet-officiële firmwareversies met ingebouwde root-toegang.
De volgende tv-modellen zijn het doelwit van de campagne:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP-versie/NHG47K)
- R4 (Android 7.1.2; R4-build/NHG47K)
- TV-BOX (Android 12.1; TV-BOX Build/NHG47K)
De aanval bestaat uit het vervangen van het daemonbestand “/system/bin/debuggerd” (waarbij het oorspronkelijke bestand is verplaatst naar een back-upbestand met de naam “debuggerd_real”), en uit de introductie van twee nieuwe bestanden – “/system/xbin/vo1d” en “/system/xbin/wd” – die de schadelijke code bevatten en tegelijkertijd werken.
“Voor Android 8.0 werden crashes afgehandeld door de daemons debuggerd en debuggerd64,” merkt Google op in zijn Android-documentatie. “In Android 8.0 en hoger worden crash_dump32 en crash_dump64 indien nodig gespawned.”
Twee verschillende bestanden die als onderdeel van het Android-besturingssysteem worden meegeleverd – install-recovery.sh en daemonsu – zijn als onderdeel van de campagne aangepast om de uitvoering van de malware te activeren door de “wd”-module te starten.
“De makers van de trojan hebben waarschijnlijk geprobeerd een van de componenten ervan te vermommen als het systeemprogramma ‘/system/bin/vold’, door het de vergelijkbare naam ‘vo1d’ te geven (door de kleine letter ‘l’ te vervangen door het cijfer ‘1’)”, aldus Doctor Web.
De “vo1d”-payload start op zijn beurt “wd” en zorgt ervoor dat deze permanent wordt uitgevoerd, terwijl het ook uitvoerbare bestanden downloadt en uitvoert wanneer dit wordt geïnstrueerd door een command-and-control (C2)-server. Bovendien houdt het bepaalde mappen in de gaten en installeert het de APK-bestanden die het daarin vindt.
“Helaas is het niet ongebruikelijk dat fabrikanten van budgetapparaten oudere OS-versies gebruiken en deze als nieuwere versies presenteren om ze aantrekkelijker te maken”, aldus het bedrijf.