Il malware Vo1d ha infettato 1,3 milioni di TV box basati su Android in tutto il mondo, con utenti distribuiti in 197 paesi. Questo malware, noto anche come Void, è un trojan backdoor che inserisce i suoi componenti nell'area di archiviazione del sistema. Una volta attivato dagli attaccanti, può scaricare e installare software di terze parti senza che l'utente ne sia consapevole.

Distribuzione delle infezioni

Secondo un rapporto pubblicato da Doctor Web, un'azienda russa di antivirus, la maggior parte delle infezioni è stata rilevata in paesi come Brasile, Marocco, Pakistan, Arabia Saudita, Argentina, Russia, Tunisia, Ecuador, Malesia, Algeria e Indonesia. Anche se non è ancora chiaro quale sia la fonte dell'infezione, si sospetta che possa essere legata a compromissioni precedenti che hanno permesso di ottenere privilegi di root o all'uso di versioni firmware non ufficiali con accesso root integrato.

Modelli di TV box colpiti

I modelli di TV box colpiti includono KJ-SMART4KVIP (Android 10.1), R4 (Android 7.1.2) e TV BOX (Android 12.1). L'attacco comporta la sostituzione del file daemon "/system/bin/debuggerd", con l'originale spostato in un file di backup denominato "debuggerd_real". Vengono inoltre introdotti due nuovi file – "/system/xbin/vo1d" e "/system/xbin/wd" – che contengono il codice maligno e operano simultaneamente.

Meccanismo di infezione

Prima di Android 8.0, i crash erano gestiti dai daemon debuggerd e debuggerd64. In Android 8.0 e versioni successive, vengono generati crash_dump32 e crash_dump64 secondo necessità. Due file del sistema operativo Android – install-recovery.sh e daemonsu – sono stati modificati per avviare l'esecuzione del malware tramite il modulo "wd".

È probabile che gli autori del trojan abbiano cercato di camuffare uno dei suoi componenti come il programma di sistema "/system/bin/vold", rinominandolo con il nome simile "vo1d" (sostituendo la lettera minuscola "l" con il numero "1"). Il payload "vo1d" avvia "wd" e ne garantisce l'esecuzione continua, scaricando e eseguendo eseguibili quando comandato da un server di comando e controllo (C2). Inoltre, monitora directory specifiche e installa i file APK trovati in esse.

Dispositivi non certificati

Purtroppo, non è raro che i produttori di dispositivi economici utilizzino versioni del sistema operativo più vecchie e le presentino come più recenti per renderle più attraenti. Google ha dichiarato che i modelli di TV infetti non erano dispositivi Android certificati Play Protect e probabilmente utilizzavano codice sorgente dal repository dell'Android Open Source Project. Per confermare se un dispositivo è certificato Play Protect, l'utente può consultare il sito web di Android TV o seguire determinati passaggi per verificare la certificazione del proprio dispositivo.