197 ülkede kullanıcılara ait, işletim sisteminin eski sürümlerini çalıştıran yaklaşık 1,3 milyon Android tabanlı TV kutusu, Vo1d (diğer adıyla Void) adı verilen yeni bir zararlı yazılım tarafından enfekte edildi.
Rus antivirüs sağlayıcısı Doctor Web, bugün yayınladığı raporda, “Bu, bileşenlerini sistem depolama alanına yerleştiren ve saldırganlar tarafından yönetildiğinde üçüncü taraf yazılımlarını gizlice indirip yükleyebilen bir arka kapıdır” dedi.
Enfeksiyonların çoğunluğu Brezilya, Fas, Pakistan, Suudi Arabistan, Arjantin, Rusya, Tunus, Ekvador, Malezya, Cezayir ve Endonezya’da tespit edildi.
Enfeksiyonun kaynağı henüz bilinmiyor ancak daha önce root ayrıcalıkları elde etmeyi sağlayan bir saldırının söz konusu olması veya yerleşik root erişimine sahip resmi olmayan yazılım sürümlerinin kullanılması nedeniyle ortaya çıkmış olabileceği düşünülüyor.
Kampanya kapsamında hedeflenen TV modelleri şunlardır:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Yapı/NHG47K)
- R4 (Android 7.1.2; R4 Yapısı/NHG47K)
- TV BOX (Android 12.1; TV BOX Yapısı/NHG47K)
Saldırı, “/system/bin/debuggerd” daemon dosyasının değiştirilmesini (orijinal dosyanın “debuggerd_real” adlı bir yedekleme dosyasına taşınmasını) ve kötü amaçlı kodu içeren ve eş zamanlı olarak çalışan iki yeni dosyanın (“/system/xbin/vo1d” ve “/system/xbin/wd”) eklenmesini içeriyor.
“Android 8.0’dan önce, çökmeler debuggerd ve debuggerd64 daemon’ları tarafından işleniyordu,” diye belirtiyor Google Android belgelerinde. “Android 8.0 ve üzeri sürümlerde, crash_dump32 ve crash_dump64 gerektiğinde üretiliyor.”
Android işletim sisteminin bir parçası olarak gönderilen iki farklı dosya (install-recovery.sh ve daemonsu), “wd” modülünü başlatarak kötü amaçlı yazılımın yürütülmesini tetiklemek amacıyla kampanyanın bir parçası olarak değiştirildi.
Doctor Web, “Truva atının yazarları muhtemelen bileşenlerinden birini ‘/system/bin/vold’ sistem programı olarak gizlemeye çalışmışlar ve buna benzer bir isim vermişler (küçük harf ‘l’ yerine ‘1’ rakamını koymuşlar),” dedi.
“vo1d” yükü ise, “wd”yi başlatır ve sürekli çalışmasını sağlarken, bir komut ve kontrol (C2) sunucusu tarafından talimat verildiğinde yürütülebilir dosyaları indirir ve çalıştırır. Ayrıca, belirtilen dizinleri takip eder ve bunlarda bulduğu APK dosyalarını yükler.
Şirketten yapılan açıklamada, “Maalesef, bütçe dostu cihaz üreticilerinin daha eski işletim sistemi sürümlerini kullanıp, bunları daha güncelmiş gibi sunarak daha çekici hale getirmeleri yaygın bir durum” denildi.