Quase 1,3 milhão de aparelhos de TV Android com versões desatualizadas do sistema operacional e pertencentes a usuários de 197 países foram infectados por um novo malware chamado Vo1d (também conhecido como Void).
“É um backdoor que coloca seus componentes na área de armazenamento do sistema e, quando comandado por invasores, é capaz de baixar e instalar secretamente software program de terceiros”, disse o fornecedor russo de antivírus Physician Internet em um relatório publicado hoje.
A maioria das infecções foi detectada no Brasil, Marrocos, Paquistão, Arábia Saudita, Argentina, Rússia, Tunísia, Equador, Malásia, Argélia e Indonésia.
Atualmente, não se sabe qual é a origem da infecção, embora se suspeite que ela possa ter envolvido uma instância de comprometimento anterior que permite obter privilégios de root ou o uso de versões de firmware não oficiais com acesso root integrado.
Os seguintes modelos de TV foram alvos da campanha –
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Construct/NHG47K)
- R4 (Android 7.1.2; R4 Construct/NHG47K)
- TV BOX (Android 12.1; TV BOX Construct/NHG47K)
O ataque envolve a substituição do arquivo daemon “/system/bin/debuggerd” (com o arquivo unique movido para um arquivo de backup chamado “debuggerd_real”), bem como a introdução de dois novos arquivos – “/system/xbin/vo1d” e “/system/xbin/wd” – que contêm o código malicioso e operam simultaneamente.
“Antes do Android 8.0, travamentos eram controlados pelos daemons debuggerd e debuggerd64”, o Google observa em sua documentação do Android. “No Android 8.0 e superior, crash_dump32 e crash_dump64 são gerados conforme necessário.”
Dois arquivos diferentes enviados como parte do sistema operacional Android – install-recovery.sh e daemonsu – foram modificados como parte da campanha para acionar a execução do malware iniciando o módulo “wd”.
“Os autores do trojan provavelmente tentaram disfarçar um de seus componentes como o programa de sistema '/system/bin/vold', chamando-o pelo nome parecido 'vo1d' (substituindo a letra minúscula 'l' pelo número '1')”, disse o Physician Internet.
O payload “vo1d”, por sua vez, inicia “wd” e garante que ele esteja em execução persistente, enquanto também baixa e executa executáveis quando instruído por um servidor de comando e controle (C2). Além disso, ele mantém guias em diretórios especificados e instala os arquivos APK que encontra neles.
“Infelizmente, não é incomum que fabricantes de dispositivos de baixo custo utilizem versões mais antigas de sistemas operacionais e as vendam como se fossem mais atualizadas para torná-las mais atraentes”, disse a empresa.
