Onderzoekers weten nog steeds niet wat de oorzaak is van een onlangs ontdekte malware-infectie die bijna 1,3 miljoen streaming-apparaten met een open source-versie van Android treft in bijna 200 landen.
Beveiligingsbedrijf Doctor Web meldde donderdag dat een malware genaamd Android.Vo1d een achterdeur creëerde voor Android-gebaseerde boxen door kwaadaardige componenten in de opslag van hun systeem te plaatsen, waar ze op elk moment via een server kunnen worden bijgewerkt met extra malware voor commando en controle. Vertegenwoordigers van Google zeiden dat de geïnfecteerde apparaten besturingssystemen gebruiken die zijn gebaseerd op het Android Open Source Project, een versie onder toezicht van Google maar verschillend van Android TV, een eigen versie die beperkt is tot gelicentieerde apparaatfabrikanten.
Tientallen varianten
Hoewel Doctor Web een grondige kennis heeft van Vo1d en het opmerkelijke bereik dat het heeft bereikt, zeggen de onderzoekers van het bedrijf dat ze de aanvalsvector die tot de infecties heeft geleid, nog moeten bepalen.
“Op dit moment is de bron van de achterdeurinfectie bij de tv-box nog steeds onbekend”, staat in de post van donderdag. “Een mogelijke infectievector zou een middleware-aanval kunnen zijn die kwetsbaarheden in het besturingssysteem exploiteert om rootrechten te verkrijgen. Een andere mogelijke vector zou het gebruik van niet-officiële firmwareversies met ingebouwde root-toegang kunnen zijn.”
De volgende met Vo1d geïnfecteerde apparaatmodellen zijn:
Model tv-box
Opgegeven firmwareversie
R4
Android 7.1.2; R4-build/NHG47K
TV-BOX
Android 12.1; TV BOX-build/NHG47K
KJ-SMART4KVIP
Android 10.1; KJ-SMART4KVIP-build/NHG47K
Een mogelijke oorzaak van infectie is dat apparaten verouderde versies gebruiken die kwetsbaar zijn voor een exploit die op afstand kwaadaardige code op de apparaten uitvoert. Versies 7.1, 10.1 en 12.1 zijn bijvoorbeeld respectievelijk in 2016, 2019 en 2022 uitgebracht. Bovendien zei Doctor Web dat het niet ongebruikelijk is dat fabrikanten van goedkope apparaten oudere versies van het besturingssysteem in streamingboxen installeren en deze aantrekkelijker maken door ze te promoten als modernere modellen.
Hoewel alleen gelicentieerde apparaatfabrikanten Google’s AndroidTV mogen wijzigen, is het bovendien elke apparaatfabrikant vrij om wijzigingen aan te brengen in de open source-versies. Dit laat de mogelijkheid open dat de apparaten in de toeleveringsketen zijn geïnfecteerd en al gecompromitteerd waren op het moment dat ze door de eindgebruiker werden gekocht.
“Deze apparaten van een ander merk die geïnfecteerd zijn, zijn geen Play Protect-gecertificeerde Android-apparaten”, aldus Google in een verklaring. “Als een apparaat niet is gecertificeerd voor Play Protect, heeft Google geen gegevens over de resultaten van beveiligings- en compatibiliteitstests. Android-apparaten die zijn gecertificeerd voor Play Protect ondergaan uitgebreide tests om de kwaliteit en gebruikersveiligheid te garanderen.”
In de aankondiging stond dat mensen kunnen bevestigen dat het apparaat Android TV OS gebruikt door deze link te controleren en de hier vermelde stappen te volgen.
Doctor Web zei dat er tientallen Vo1d-varianten zijn die verschillende code gebruiken en malware in enigszins verschillende opslagruimtes plaatsen, maar allemaal hetzelfde eindresultaat bereiken: verbinding maken met een server die wordt beheerd door de aanvaller en een laatste component installeren die extra malware kan installeren wanneer daarom wordt gevraagd. . Uit VirusTotal blijkt dat de meeste Vo1d-varianten een paar maanden geleden voor het eerst naar de malware-identificatiesite zijn geüpload.
De onderzoekers schreven:
Al deze gevallen vertoonden vergelijkbare tekenen van infectie, dus we zullen ze beschrijven aan de hand van het voorbeeld van een van de eerste verzoeken die we ontvingen. Op de betreffende tv-box zijn de volgende objecten gewijzigd:
install-recovery.sh
daemonen
Bovendien verschenen er 4 nieuwe bestanden in zijn bestandssysteem:
/system/xbin/vo1d
/systeem/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real
De vo1d En wd bestanden zijn componenten Android.Vo1d trojan die we hebben ontdekt.
De auteurs van de Trojan hebben waarschijnlijk geprobeerd een van de componenten ervan te vermommen als een systeemprogramma /system/bin/vold, door het zoiets te noemen als “vo1d” (waarbij de kleine letter “l” werd vervangen door het cijfer “1”). De naam van de malware is afgeleid van de naam van dit bestand. Bovendien komt deze spelling overeen met het Engelse woord “void”.
De install-recovery.sh bestand is een script dat aanwezig is op de meeste Android-apparaten. Het begint wanneer het besturingssysteem start en bevat gegevens om automatisch de daarin genoemde elementen te starten. Als er malware root-toegang heeft en de mogelijkheid om ernaar te schrijven /systeem systeemmap, kan in het geïnfecteerde apparaat worden verankerd door zichzelf aan dit script toe te voegen (of door het helemaal opnieuw te maken als het niet in het systeem aanwezig is). Android.Vo1d heeft autostart geregistreerd voor wd onderdeel in dit bestand.
Gewijzigd install-recovery.sh-bestand
Dokter Web
De daemonen bestand is aanwezig op veel geroote Android-apparaten. Het wordt uitgevoerd door het besturingssysteem wanneer het opstart en is verantwoordelijk voor het verlenen van rootrechten aan de gebruiker. Android.Vo1d registreerde zichzelf ook in dit bestand en stelde autostart in voor de wd module.
De gedebugd bestand is een daemon die doorgaans wordt gebruikt om foutrapporten te genereren. Maar wanneer de TV box geïnfecteerd is, wordt dit bestand vervangen door een lopend script wd bestanddeel.
De debuggerd_real -bestand in het geval waar we naar kijken is een kopie van het script dat werd gebruikt om het echte script te vervangen gedebugd bestand. Experts van Doctor Web zijn van mening dat de auteurs van de Trojan het origineel bedoelden gedebugd in te verhuizen debuggerd_real om de functionaliteit ervan te behouden. Omdat de infectie echter waarschijnlijk twee keer heeft plaatsgevonden, heeft de trojan het reeds vervangen bestand (dat wil zeggen het script) verplaatst. Als gevolg hiervan had het apparaat twee scripts van de trojan en geen echte gedebugd programma bestand.
Tegelijkertijd hadden andere gebruikers die contact met ons opnamen een iets andere lijst met bestanden op hun geïnfecteerde apparaten:
daemonen (de vo1d analoog bestand — Android.Vo1d.1);
wd (Android.Vo1d.3);
gedebugd (hetzelfde script als hierboven beschreven);
debuggerd_real (origineel bestand gedebugd hulpmiddel);
install-recovery.sh (een script dat de daarin gespecificeerde objecten laadt).
Uit de analyse van alle bovenstaande bestanden is gebleken dat er sprake is van verankering Android.Vo1d in systeem gebruikten de auteurs ervan minstens drie verschillende methoden: modificatie install-recovery.sh En daemonen bestanden en vervanging gedebugd programma. Ze verwachtten waarschijnlijk dat ten minste één van de doelbestanden op het geïnfecteerde systeem aanwezig zou zijn, omdat het manipuleren van zelfs maar één ervan ervoor zou zorgen dat de Trojan succesvol automatisch zou starten tijdens de daaropvolgende herstart van het apparaat.
Android.Vo1dDe belangrijkste functionaliteit zit verborgen in zijn vo1d (Android.Vo1d.1) En wd (Android.Vo1d.3) componenten, die samenwerken. De Android.Vo1d.1 module is verantwoordelijk voor Android.Vo1d.3‘s start en controleert zijn activiteit en start het proces indien nodig opnieuw. Bovendien kan het uitvoerbare bestanden downloaden en uitvoeren wanneer de C&C-server hierom opdracht geeft. Op zijn beurt, de Android.Vo1d.3 de module wordt geïnstalleerd en uitgevoerd Android.Vo1d.5 een demon die is gecodeerd en opgeslagen in zijn lichaam. Deze module kan ook uitvoerbare bestanden downloaden en uitvoeren. Bovendien controleert het bepaalde mappen en installeert het de APK-bestanden die het daarin aantreft.
De geografische spreiding van infecties is breed, waarbij het hoogste aantal wordt gedetecteerd in Brazilië, Marokko, Pakistan, Saoedi-Arabië, Rusland, Argentinië, Ecuador, Tunesië, Maleisië, Algerije en Indonesië.
Toename / Een wereldkaart met het aantal besmette mensen in verschillende landen.
Dokter Web
Voor minder ervaren mensen is het niet bepaald eenvoudig om te controleren of een apparaat geïnfecteerd is zonder een malwarescanner te installeren. Doctor Web zei dat zijn Android-antivirussoftware alle Vo1d-varianten zal detecteren en apparaten zal desinfecteren die root-toegang bieden. Meer ervaren gebruikers kunnen hier de compromisindicatoren bekijken.
