Android.Vo1d-Malware

Ungefähr 1,3 Millionen Android-basierte TV-Boxen, die mit veralteten Systemversionen betrieben werden und in 197 Ländern im Einsatz sind, wurden von einer neu entdeckten Malware namens Vo1d (auch bekannt als Void) infiziert. Diese Backdoor-Malware bettet ihre Komponenten in den Systemspeicher ein und kann nach Erhalt von Befehlen von Angreifern heimlich Anwendungen von Drittanbietern herunterladen und installieren.

Die meisten Infektionen wurden in Brasilien, Marokko, Pakistan, Saudi-Arabien, Argentinien, Russland, Tunesien, Ecuador, Malaysia, Algerien und Indonesien festgestellt.

Mehrere Geräte im Visier des Vo1D-Angriffs

Die genaue Quelle der Infektion ist noch unklar. Es wird jedoch vermutet, dass sie entweder auf einen früheren Angriff zurückzuführen ist, durch den Angreifer Root-Rechte erlangten, oder auf die Verwendung inoffizieller Firmware-Versionen mit integriertem Root-Zugriff.

Die folgenden TV-Modelle waren Ziel dieser Kampagne:

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
• R4 (Android 7.1.2; R4-Build/NHG47K)
• TV-BOX (Android 12.1; TV-BOX-Build/NHG47K)

Bei dem Angriff wird die Daemon-Datei „/system/bin/debuggerd“ ersetzt (die Originaldatei wird als Backup in „debuggerd_real“ umbenannt) und zwei neue Dateien hinzugefügt: „/system/xbin/vo1d“ und „/system/xbin/wd“. Diese Dateien enthalten den betrügerischen Code und werden gleichzeitig ausgeführt.

Google stellte fest, dass es sich bei den betroffenen TV-Modellen nicht um Play Protect-zertifizierte Android-Geräte handelte und wahrscheinlich Quellcode aus dem Android Open Source Project (AOSP)-Repository verwendet wurde.

Die Cyberkriminellen modifizierten Android-Dateien, um Malware zu verbreiten

Vor Android 8.0 wurden Abstürze von den Daemons debuggerd und debuggerd64 verwaltet, wie in der Android-Dokumentation von Google vermerkt. Ab Android 8.0 werden „crash_dump32“ und „crash_dump64“ bei Bedarf gestartet.

Im Rahmen der Malware-Kampagne wurden zwei Dateien, die normalerweise Teil des Android-Betriebssystems sind – install-recovery.sh und daemonsu – geändert, um die Malware durch Starten des Moduls „wd“ auszuführen.

Cybersicherheitsforscher vermuten, dass die Autoren der Malware wahrscheinlich versucht haben, eine ihrer Komponenten als das Systemprogramm „/system/bin/vold“ zu tarnen, indem sie es „vo1d“ nannten und dabei das kleine „l“ durch die Zahl „1“ ersetzten, um ein ähnliches Erscheinungsbild zu erwecken.

Die Payload „vo1d“ startet das Modul „wd“ und stellt sicher, dass es aktiv bleibt. Außerdem lädt sie ausführbare Dateien herunter und führt sie aus, wenn sie Befehle von einem Command-and-Control-Server (C2) empfängt. Darüber hinaus überwacht sie bestimmte Verzeichnisse und installiert alle APK-Dateien, die sie findet.

Leider kommt es bei Herstellern preisgünstiger Geräte nicht selten vor, dass sie veraltete Betriebssystemversionen verwenden und diese als neuer vermarkten, um ihre Produkte attraktiver erscheinen zu lassen.