Hampir 1,3 juta kotak TV berbasis Android yang menjalankan versi lama sistem operasi dan dimiliki oleh pengguna di 197 negara telah terinfeksi oleh malware baru yang dijuluki Vo1d (alias Void).
“Itu adalah pintu belakang yang meletakkan komponen-komponennya di area penyimpanan sistem dan, ketika diperintahkan oleh penyerang, mampu mengunduh dan memasang perangkat lunak pihak ketiga secara diam-diam,” kata vendor antivirus Rusia Doctor Web dalam sebuah laporan yang diterbitkan hari ini.
Mayoritas infeksi telah terdeteksi di Brasil, Maroko, Pakistan, Arab Saudi, Argentina, Rusia, Tunisia, Ekuador, Malaysia, Aljazair, dan Indonesia.
Saat ini belum diketahui apa sumber infeksinya, meskipun diduga bahwa itu mungkin melibatkan contoh kompromi sebelumnya yang memungkinkan perolehan hak akses root atau penggunaan versi firmware tidak resmi dengan akses root bawaan.
Model TV berikut telah menjadi target sebagai bagian dari kampanye –
- KJ-SMART4KVIP (Android 10.1; Versi KJ-SMART4KVIP/NHG47K)
- R4 (Android 7.1.2; Versi R4/NHG47K)
- KOTAK TV (Android 12.1; TV BOX Versi/NHG47K)
Serangan tersebut melibatkan penggantian file daemon “/system/bin/debuggerd” (dengan file asli dipindahkan ke file cadangan bernama “debuggerd_real”), serta pengenalan dua file baru – “/system/xbin/vo1d” dan “/system/xbin/wd” – yang berisi kode berbahaya dan beroperasi secara bersamaan.
“Sebelum Android 8.0, crash ditangani oleh daemon debuggerd dan debuggerd64,” catat Google dalam dokumentasi Android-nya. “Di Android 8.0 dan yang lebih tinggi, crash_dump32 dan crash_dump64 dimunculkan sesuai kebutuhan.”
Dua file berbeda yang dikirimkan sebagai bagian dari sistem operasi Android – install-recovery.sh dan daemonsu – telah dimodifikasi sebagai bagian dari kampanye untuk memicu eksekusi malware dengan memulai modul “wd”.
“Pembuat trojan itu mungkin mencoba menyamarkan salah satu komponennya sebagai program sistem '/system/bin/vold,' dan menyebutnya dengan nama yang mirip 'vo1d' (mengganti huruf kecil 'l' dengan angka '1'),” kata Dokter Web.
Muatan “vo1d” pada gilirannya akan memulai “wd” dan memastikannya berjalan terus-menerus, sembari mengunduh dan menjalankan file yang dapat dieksekusi saat diperintahkan oleh server perintah dan kontrol (C2). Lebih jauh, muatan ini mengawasi direktori tertentu dan memasang file APK yang ditemukan di dalamnya.
“Sayangnya, bukan hal yang aneh bagi produsen perangkat berbiaya rendah untuk memanfaatkan versi OS lama dan memasarkannya sebagai versi yang lebih baru agar lebih menarik,” kata perusahaan itu.