近 130 万个基于 Android 的电视盒运行过时版本的操作系统,属于 197 个国家/地区的用户,已被一种名为 Vo1d(又名 Void)的新恶意软件感染。
“它是一个后门,将其组件放在系统存储区域,当受到攻击者的命令时,它能够秘密下载和安装第三方软件,”俄罗斯防病毒供应商 Doctor Web 在今天发布的一份报告中说。
大多数感染发生在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、阿根廷、俄罗斯、突尼斯、厄瓜多尔、马来西亚、阿尔及利亚和印度尼西亚。
目前尚不清楚感染的来源是什么,但怀疑它可能涉及允许获得 root 权限的先前入侵实例,或使用具有内置 root 访问权限的非官方固件版本。
作为活动的一部分,以下电视型号已成为目标 –
- KJ-SMART4KVIP (Android 10.1;KJ-SMART4KVIP 版本/NHG47K)
- R4 (Android 7.1.2;R4 版本/NHG47K)
- 电视盒(Android 12.1;电视盒构建/NHG47K)
该攻击需要替换“/system/bin/debuggerd”守护程序文件(将原始文件移动到名为“debuggerd_real”的备份文件中),以及引入两个新文件——“/system/xbin/vo1d”和“/system/xbin/wd”——它们包含恶意代码并并发运行。
“在 Android 8.0 之前,崩溃由 debuggerd 和 debuggerd64 守护程序处理,”谷歌在其 Android 文档中指出。“在 Android 8.0 及更高版本中,crash_dump32 和 crash_dump64 是根据需要生成的。”
作为 Android 操作系统的一部分提供的两个不同的文件——install-recovery.sh 和 daemonsu——已被修改为活动的一部分,以通过启动“wd”模块来触发恶意软件的执行。
“该木马的作者可能试图将其组件伪装成系统程序’/system/bin/vold’,并用外观相似的名称’vo1d’来称呼它(用数字’1’代替小写字母’l’),”Doctor Web 说。
反过来,“vo1d”有效负载会启动 “wd” 并确保它持续运行,同时还会在命令和控制 (C2) 服务器的指示下下载和运行可执行文件。此外,它会密切关注指定的目录并安装在其中找到的 APK 文件。
“不幸的是,廉价设备制造商使用较旧的操作系统版本并将其冒充为更新的操作系统版本以使其更具吸引力的情况并不少见,”该公司表示。