1,3 juta TV box berbasis Android backdoor; peneliti masih belum mengetahui caranya

Para peneliti masih belum mengetahui penyebab infeksi malware yang ditemukan baru-baru ini yang memengaruhi hampir 1,3 juta perangkat streaming yang menjalankan Android versi open-source di hampir 200 negara.

Perusahaan keamanan Doctor Web dilaporkan Kamis bahwa malware bernama Android.Vo1d telah menutup pintu belakang kotak berbasis Android dengan menempatkan komponen berbahaya di area penyimpanan sistemnya, di mana komponen tersebut dapat diperbarui dengan malware tambahan kapan saja melalui server perintah dan kontrol. Perwakilan Google mengatakan perangkat yang terinfeksi menjalankan sistem operasi berdasarkan Proyek Sumber Terbuka Android, versi yang diawasi oleh Google tetapi berbeda dari Android TV, versi kepemilikan yang dibatasi untuk pembuat perangkat berlisensi.

Puluhan varian

Meskipun Web Doctor memiliki pemahaman menyeluruh tentang Vo1d dan jangkauan luar biasa yang dicapainya, para peneliti perusahaan tersebut mengatakan bahwa mereka belum menentukan vektor serangan yang menyebabkan infeksi tersebut.

“Saat ini, penyebab infeksi pintu belakang pada kotak TV masih belum diketahui,” demikian rilis Kamis. “Salah satu kemungkinan vektor infeksi adalah serangan malware perantara yang mengeksploitasi kerentanan sistem operasi untuk mendapatkan hak akses root. Kemungkinan vektor lainnya adalah penggunaan versi firmware tidak resmi dengan akses root bawaan.

Model perangkat berikut yang terinfeksi Vo1d adalah:

Salah satu kemungkinan sumber infeksi adalah perangkat yang menjalankan versi lama dan rentan terhadap eksploitasi yang mengeksekusi kode berbahaya dari jarak jauh. Versi 7.1, 10.1, dan 12.1, misalnya, dirilis masing-masing pada tahun 2016, 2019, dan 2022. Terlebih lagi, Doctor Web mengatakan bukan hal yang aneh bagi produsen perangkat berbiaya rendah untuk memasang versi OS lama di kotak streaming dan membuatnya terlihat lebih menarik dengan memposisikannya sebagai model yang lebih baru.

Lebih lanjut, meskipun hanya pembuat perangkat berlisensi yang diperbolehkan memodifikasi AndroidTV Google, pembuat perangkat mana pun bebas melakukan perubahan pada versi sumber terbuka. Hal ini membuka kemungkinan bahwa perangkat tersebut terinfeksi dalam rantai pasokan dan disusupi pada saat perangkat tersebut dibeli oleh pengguna akhir.

“Perangkat di luar merek yang ditemukan terinfeksi ternyata tidak Perangkat Android bersertifikasi Play Protect,” kata Google dalam sebuah pernyataan. “Jika perangkat tidak bersertifikat Play Protect, Google tidak memiliki catatan hasil uji keamanan dan kompatibilitas. Perangkat Android bersertifikasi Play Protect menjalani pengujian ekstensif untuk memastikan kualitas dan keamanan pengguna.”

Pernyataan itu mengatakan orang dapat memverifikasi perangkat tersebut menjalankan OS Android TV dengan memeriksa tautan ini dan ikuti langkah-langkah yang tercantum Di Sini.

Web Doctor mengatakan ada lusinan varian Vo1d yang menggunakan kode berbeda dan menanam malware di area penyimpanan yang sedikit berbeda, namun semuanya mencapai hasil akhir yang sama dengan menyambung ke server yang dikendalikan penyerang dan memasang komponen akhir yang dapat memasang malware tambahan saat diberitahu. VirusTotal menunjukkan bahwa sebagian besar varian Vo1d pertama kali diunggah ke situs identifikasi malware beberapa bulan lalu.

Peneliti menulis:

Semua kasus ini melibatkan tanda-tanda infeksi yang serupa, jadi kami akan menjelaskannya menggunakan salah satu permintaan pertama yang kami terima sebagai contoh. Objek berikut telah diubah pada kotak TV yang terpengaruh:

• instal-pemulihan.sh
• daemonsu

Selain itu, 4 file baru muncul di sistem filenya:

• /system/xbin/vo1d
• /system/xbin/wd
• /system/bin/debuggerd
• /system/bin/debuggered_real

Itu vo1d Dan wd file adalah komponen Android.Vo1d trojan yang kami temukan.

Pembuat trojan mungkin mencoba menyamarkan komponennya sebagai program sistem /system/bin/vold, memanggilnya dengan nama yang mirip dengan “vo1d” (mengganti huruf kecil “l” dengan angka “1” ). Nama program jahat berasal dari nama file ini. Juga, ejaan ini sesuai dengan kata bahasa Inggris “void”.

Itu instal-pemulihan.sh file adalah skrip yang ditemukan di sebagian besar perangkat Android. Ini berjalan ketika sistem operasi diluncurkan dan berisi data untuk menjalankan elemen-elemen yang ditentukan di dalamnya secara otomatis. Jika ada malware yang memiliki akses root dan kemampuan untuk menulis /sistem direktori sistem, ia dapat menyematkan dirinya ke dalam perangkat yang terinfeksi dengan menambahkan dirinya ke skrip ini (atau dengan membuatnya dari awal jika tidak ada di sistem). Android.Vo1d telah mendaftarkan autostart untuk wd komponen dalam file ini.

Itu daemonsu file tersedia di banyak perangkat Android dengan akses root. Ini diluncurkan oleh sistem operasi saat dimulai dan bertanggung jawab untuk memberikan hak akses root kepada pengguna. Android.Vo1d mendaftarkan dirinya dalam file ini juga, setelah menyediakan autostart untuk wd modul.

Itu men-debug File merupakan daemon yang biasanya digunakan untuk melaporkan kesalahan yang terjadi. Tapi ketika TV box terinfeksi, file ini digantikan oleh skrip yang diluncurkan wd komponen.

Itu debugged_nyata file dalam kasus yang kami ulas adalah salinan skrip yang digunakan untuk menggantikan yang asli men-debug mengajukan. Pakar Doctor Web percaya bahwa pembuat trojan bermaksud yang asli di-debug untuk ditransfer ke debugged_nyata untuk mempertahankan fungsinya. Namun, karena infeksi dapat terjadi dua kali, trojan akan menghapus file yang diganti (yaitu skrip). Akibatnya, perangkat tersebut memiliki dua skrip dari trojan dan bukan satu skrip asli men-debug berkas program.

Pada saat yang sama, pengguna lain yang menghubungi kami memiliki daftar file yang sedikit berbeda di perangkat mereka yang terinfeksi:

• daemonsu (yang vo1d berkas analog – Android.Vo1d.1);
• wd (Android.Vo1d.3);
• di-debug (skrip yang sama seperti dijelaskan di atas);
• debugged_nyata (file asli untuk di-debug peralatan);
• instal-pemulihan.sh (skrip yang memuat objek yang ditentukan di dalamnya).

Analisis terhadap semua file yang disebutkan di atas menunjukkan hal itu ke jangkar Android.Vo1d masuk sistem, penulisnya menggunakan setidaknya tiga metode berbeda: modifikasi instal-pemulihan.sh Dan daemonsu file dan substitusi di-debug program. Mereka mungkin berharap bahwa setidaknya satu dari file target akan ada di sistem yang terinfeksi, karena memanipulasi salah satu file tersebut akan memastikan keberhasilan peluncuran otomatis trojan selama reboot perangkat berikutnya.

Android.Vo1dFungsi utamanya tersembunyi di dalamnya vo1d (Android.Vo1d.1) Dan wd (Android.Vo1d.3) komponen yang bekerja bersama-sama. Itu Android.Vo1d.1 modul bertanggung jawab untuk Android.Vo1d.3meluncurkan dan mengontrol aktivitasnya, memulai ulang proses jika perlu. Selain itu, ia dapat mengunduh dan menjalankan file yang dapat dieksekusi ketika diinstruksikan oleh server C&C. Di sisi lain, yang mana Android.Vo1d.3 pemasangan dan peluncuran modul Android.Vo1d.5 daemon yang dienkripsi dan disimpan di tubuhnya. Modul ini juga dapat mengunduh dan menjalankan file executable. Selain itu, ia memonitor direktori tertentu dan menginstal file APK yang ditemukan di dalamnya.

Distribusi geografis infeksi ini sangat luas, dengan jumlah terbesar terdeteksi di Brasil, Maroko, Pakistan, Arab Saudi, Rusia, Argentina, Ekuador, Tunisia, Malaysia, Aljazair, dan Indonesia.

Tidak mudah bagi orang yang tidak berpengalaman untuk memeriksa apakah suatu perangkat terinfeksi karena tidak memasang pemindai malware. Doctor Web mengatakan perangkat lunak antivirusnya untuk Android akan mendeteksi semua varian Vo1d dan mendisinfeksi perangkat yang menyediakan akses root. Pengguna yang lebih berpengalaman dapat memeriksa indikator kompromi Di Sini.