12 de septiembre de 2024Ravie Lakshmanan Malware / Seguridad de IoT
Aproximadamente 1,3 millones de TV Box con Android que ejecutaban versiones anteriores del sistema operativo, propiedad de usuarios en 197 países, fueron infectados con un nuevo malware llamado Vo1d (también conocido como Void).
“Se trata de una puerta trasera con la capacidad de colocar componentes en el área de almacenamiento del sistema y descargar e instalar en secreto software de terceros por orden del atacante”, afirmó el proveedor ruso de antivirus Dr.・Webb en un informe publicado hoy.
La mayoría de las infecciones han sido confirmadas en Brasil, Marruecos, Pakistán, Arabia Saudita, Argentina, Rusia, Túnez, Ecuador, Malasia, Argelia e Indonesia.
Actualmente se desconoce el origen de la infección, pero se sospecha que puede estar relacionado con infracciones anteriores que permiten privilegios de root o el uso de versiones de firmware no oficiales que incluyen acceso de root.
Los modelos de TV elegibles para la campaña son los siguientes.
KJ-SMART4KVIP (Android 10.1; compilación KJ-SMART4KVIP/NHG47K) R4 (Android 7.1.2; compilación R4/NHG47K) TV BOX (Android 12.1; compilación de TV BOX/NHG47K)
El ataque implica reemplazar el archivo demonio “/system/bin/debuggerd” (el archivo original se mueve a un archivo de respaldo llamado “debuggerd_real”) y crear dos archivos nuevos que contienen código malicioso y se ejecutan al mismo tiempo (“/system/xbin /vo1d” y “/system/xbin/wd”).
“Antes de Android 8.0, los fallos eran manejados por los demonios debuggerd y debuggerd64”, dice Google en la documentación de Android. “A partir de Android 8.0, crash_dump32 y crash_dump64 se generan según sea necesario”.
Dos archivos diferentes enviados como parte del sistema operativo Android (install-recovery.sh y daemonsu) fueron modificados como parte de la campaña para lanzar el módulo “wd” y desencadenar la ejecución del malware Ta.
“Parece que el autor del troyano intentó disfrazar uno de sus componentes como el programa del sistema “/system/bin/vold.'' 1)”, comenta Doctor Web.
La carga útil “vo1d'' luego inicia “wd'' para garantizar que se esté ejecutando de manera persistente y descarga y ejecuta el archivo ejecutable según lo indique el servidor de comando y control (C2). Además, monitorea el directorio especificado e instala los archivos APK que se encuentran allí.
“Desafortunadamente, no es raro que los fabricantes de dispositivos de gama baja tomen versiones anteriores del sistema operativo y las comercialicen como versiones más modernas para que parezcan más atractivas”, dijo la compañía.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Source link: https://example.com/link-of-source
