Nahezu 1,3 Millionen Android-basierte TV-Boxen, die veraltete Versionen des Betriebssystems verwenden und Nutzern in 197 Ländern gehören, wurden mit einer neuen Malware namens Vo1d (auch bekannt als Void) infiziert.
„Es handelt sich um eine Hintertür, die ihre Komponenten im Systemspeicherbereich ablegt und auf Befehl von Angreifern heimlich Software von Drittanbietern herunterladen und installieren kann“, so der russische Antiviren-Hersteller Doctor Web in einem heute veröffentlichten Bericht.
Ein Großteil der Infektionen wurde in Brasilien, Marokko, Pakistan, Saudi-Arabien, Argentinien, Russland, Tunesien, Ecuador, Malaysia, Algerien und Indonesien entdeckt.
Derzeit ist nicht bekannt, woher die Infektion stammt, es wird jedoch vermutet, dass es sich entweder um einen Fall von vorheriger Kompromittierung handelt, der es ermöglicht, Root-Rechte zu erlangen, oder um die Verwendung inoffizieller Firmware-Versionen mit integriertem Root-Zugriff.
Die folgenden TV-Modelle wurden im Rahmen der Kampagne angegriffen –
KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
R4 (Android 7.1.2; R4 Build/NHG47K)
TV BOX (Android 12.1; TV BOX Build/NHG47K)
Der Angriff beinhaltet das Ersetzen der Daemon-Datei „/system/bin/debuggerd“ (wobei die Originaldatei in eine Sicherungsdatei namens „debuggerd_real“ verschoben wird) sowie das Einfügen von zwei neuen Dateien – „/system/xbin/vo1d“ und „/system/xbin/wd“ -, die den Schadcode enthalten und gleichzeitig ausgeführt werden.
„Vor Android 8.0 wurden Abstürze von den Daemons debuggerd und debuggerd64 behandelt“, erklärt Google in seiner Android-Dokumentation. „In Android 8.0 und höher werden crash_dump32 und crash_dump64 nach Bedarf erzeugt.“
Zwei verschiedene Dateien, die Teil des Android-Betriebssystems sind – install-recovery.sh und daemonsu – wurden im Rahmen der Kampagne so modifiziert, dass sie die Ausführung der Malware auslösen, indem sie das Modul „wd“ starten.
„Die Autoren des Trojaners haben wahrscheinlich versucht, eine seiner Komponenten als das Systemprogramm ‚/system/bin/vold‘ zu tarnen, indem sie es mit dem ähnlich klingenden Namen ‚vo1d‘ bezeichneten (wobei der Kleinbuchstabe ‚l‘ durch die Zahl ‚1‘ ersetzt wurde)“, so Doctor Web.
Die „vo1d“-Nutzlast wiederum startet „wd“ und stellt sicher, dass es permanent ausgeführt wird, während es gleichzeitig auf Anweisung eines Command-and-Control (C2)-Servers ausführbare Dateien herunterlädt und ausführt. Außerdem überwacht es bestimmte Verzeichnisse und installiert die darin gefundenen APK-Dateien.
„Leider ist es nicht ungewöhnlich, dass Hersteller von Billiggeräten ältere Betriebssystemversionen verwenden und sie als aktuellere ausgeben, um sie attraktiver zu machen“, so das Unternehmen.