Base de Datos de Amenazas Puertas traseras Programa malicioso Android.Vo1d

Programa malicioso Android.Vo1d

Aproximadamente 1,3 millones de TV boxes basados en Android, que funcionan con versiones desactualizadas del sistema y se utilizan en 197 países, se han visto comprometidos por un malware recién descubierto llamado Vo1d (también conocido como Void). Este malware de puerta trasera incrusta sus componentes en el almacenamiento del sistema y puede descargar e instalar de forma encubierta aplicaciones de terceros al recibir comandos de los atacantes.

La mayoría de las infecciones se han identificado en Brasil, Marruecos, Pakistán, Arabia Saudita, Argentina, Rusia, Túnez, Ecuador, Malasia, Argelia e Indonesia.

Varios dispositivos fueron blanco del ataque Vo1d

El origen exacto de la infección sigue sin estar claro, pero se sospecha que puede deberse a un ataque anterior que permitió a los atacantes obtener privilegios de root o al uso de versiones de firmware no oficiales con acceso de root integrado.

Los siguientes modelos de TV han sido objeto de esta campaña:

  • KJ-SMART4KVIP (Android 10.1; compilación KJ-SMART4KVIP/NHG47K)
  • R4 (Android 7.1.2; compilación R4/NHG47K)
  • TV BOX (Android 12.1; versión de TV BOX/NHG47K)

El ataque consiste en reemplazar el archivo demonio '/system/bin/debuggerd' (el archivo original se renombra como 'debuggerd_real' como respaldo) y agregar dos archivos nuevos: '/system/xbin/vo1d' y '/system/xbin/wd'. Estos archivos contienen el código fraudulento y se ejecutan simultáneamente.

Google señaló que los modelos de televisores afectados no eran dispositivos Android certificados por Play Protect y probablemente utilizaban código fuente del repositorio del Proyecto de código abierto de Android (AOSP).

Los cibercriminales modificaron archivos de Android para distribuir malware

Antes de Android 8.0, los fallos los gestionaban los daemons debuggerd y debuggerd64, como se indica en la documentación de Android de Google. A partir de Android 8.0, "crash_dump32" y "crash_dump64" se generan a pedido.

Como parte de la campaña de malware, se alteraron dos archivos que normalmente forman parte del sistema operativo Android (install-recovery.sh y daemonsu) para ejecutar el malware iniciando el módulo "wd".

Los investigadores de ciberseguridad sugieren que los autores del malware probablemente intentaron disfrazar uno de sus componentes como el programa del sistema '/system/bin/vold' nombrándolo 'vo1d' y reemplazando la 'l' minúscula por el número '1' para crear una apariencia similar.

La carga útil 'vo1d' inicia el módulo 'wd' y se asegura de que permanezca activo, mientras también descarga y ejecuta archivos ejecutables al recibir comandos de un servidor de comando y control (C2). Además, monitorea directorios específicos e instala cualquier archivo APK que encuentre.

Lamentablemente, no es inusual que los fabricantes de dispositivos económicos utilicen versiones obsoletas del sistema operativo y las comercialicen como más recientes para que sus productos parezcan más atractivos.

Tendencias

Mas Visto

Cargando...