Logiciel malveillant Android.Vo1d

Environ 1,3 million de boîtiers TV Android fonctionnant sur des versions obsolètes du système et utilisés dans 197 pays ont été compromis par un nouveau malware appelé Vo1d (également connu sous le nom de Void). Ce malware de porte dérobée intègre ses composants dans le stockage du système et peut télécharger et installer secrètement des applications tierces à la réception de commandes de la part d'attaquants.

La plupart des infections ont été identifiées au Brésil, au Maroc, au Pakistan, en Arabie saoudite, en Argentine, en Russie, en Tunisie, en Équateur, en Malaisie, en Algérie et en Indonésie.

Plusieurs appareils ciblés par l'attaque Vo1d

La source exacte de l'infection reste incertaine. On soupçonne néanmoins qu'elle provient soit d'une compromission antérieure qui a permis aux attaquants d'obtenir des privilèges root, soit de l'utilisation de versions de firmware non officielles avec accès root intégré.

Les modèles de téléviseurs suivants ont été ciblés par cette campagne :

• KJ-SMART4KVIP (Android 10.1 ; version KJ-SMART4KVIP/NHG47K)
• R4 (Android 7.1.2 ; version R4/NHG47K)
• Boîtier TV (Android 12.1 ; boîtier TV/NHG47K)

L'attaque consiste à remplacer le fichier démon « /system/bin/debuggerd » (le fichier d'origine est renommé « debuggerd_real » en guise de sauvegarde) et à ajouter deux nouveaux fichiers : « /system/xbin/vo1d » et « /system/xbin/wd ». Ces fichiers contiennent le code frauduleux et s'exécutent simultanément.

Google a noté que les modèles de téléviseurs concernés n'étaient pas des appareils Android certifiés Play Protect et utilisaient probablement le code source du référentiel Android Open Source Project (AOSP).

Les cybercriminels ont modifié des fichiers Android pour diffuser des logiciels malveillants

Avant Android 8.0, les plantages étaient gérés par les démons debuggerd et debuggerd64, comme indiqué dans la documentation Android de Google. À partir d'Android 8.0, « crash_dump32 » et « crash_dump64 » sont générés à la demande.

Dans le cadre de la campagne de malware, deux fichiers qui font généralement partie du système d'exploitation Android – install-recovery.sh et daemonsu – ont été modifiés pour exécuter le malware en lançant le module « wd ».

Les chercheurs en cybersécurité suggèrent que les auteurs du logiciel malveillant ont probablement tenté de déguiser l'un de ses composants en programme système « /system/bin/vold » en le nommant « vo1d », en remplaçant le « l » minuscule par le chiffre « 1 » pour créer une apparence similaire.

La charge utile « vo1d » démarre le module « wd » et s'assure qu'il reste actif, tout en téléchargeant et en exécutant des exécutables lors de la réception de commandes d'un serveur de commande et de contrôle (C2). De plus, il surveille des répertoires spécifiques et installe tous les fichiers APK qu'il trouve.

Malheureusement, il n’est pas rare que les fabricants d’appareils à petit budget utilisent des versions de système d’exploitation obsolètes et les commercialisent comme étant plus récentes pour rendre leurs produits plus attrayants.