1,3 juta kotak TV berbasis Android dibobol; peneliti masih belum tahu caranya

Para peneliti masih belum mengetahui penyebab infeksi malware yang baru-baru ini ditemukan yang memengaruhi hampir 1,3 juta perangkat streaming yang menjalankan Android versi sumber terbuka di hampir 200 negara.

Perusahaan keamanan Doctor Web dilaporkan pada hari Kamis Malware bernama Android.Vo1d telah menyusup ke kotak berbasis Android dengan meletakkan komponen berbahaya di area penyimpanan sistem, yang dapat diperbarui dengan malware tambahan kapan saja melalui server perintah dan kontrol. Perwakilan Google mengatakan perangkat yang terinfeksi menjalankan sistem operasi berbasis Android Open Source Project, versi yang diawasi oleh Google tetapi berbeda dari Android TV, versi hak milik yang dibatasi untuk pembuat perangkat berlisensi.

Puluhan varian

Meskipun Doctor Web memiliki pemahaman menyeluruh tentang Vo1d dan jangkauan luar biasa yang telah dicapainya, peneliti perusahaan mengatakan mereka belum menentukan vektor serangan yang menyebabkan infeksi.

“Saat ini, sumber infeksi backdoor pada TV box masih belum diketahui,” demikian pernyataan pada posting hari Kamis. “Salah satu kemungkinan vektor infeksi adalah serangan oleh malware perantara yang mengeksploitasi kerentanan sistem operasi untuk mendapatkan hak akses root. Kemungkinan vektor lainnya adalah penggunaan versi firmware tidak resmi dengan akses root bawaan.”

Model perangkat berikut yang terinfeksi Vo1d adalah:

Salah satu kemungkinan penyebab infeksi adalah perangkat tersebut menjalankan versi lama yang rentan terhadap eksploitasi yang mengeksekusi kode berbahaya dari jarak jauh. Versi 7.1, 10.1, dan 12.1, misalnya, dirilis masing-masing pada tahun 2016, 2019, dan 2022. Lebih lanjut, Dokter Web mengatakan bahwa bukan hal yang aneh bagi produsen perangkat murah untuk memasang versi OS lama di kotak streaming dan membuatnya tampak lebih menarik dengan cara menyamarkannya sebagai model yang lebih baru.

Lebih jauh, meskipun hanya produsen perangkat berlisensi yang diizinkan untuk memodifikasi AndroidTV Google, produsen perangkat mana pun bebas membuat perubahan pada versi sumber terbuka. Hal itu membuka kemungkinan bahwa perangkat tersebut terinfeksi dalam rantai pasokan dan telah disusupi pada saat dibeli oleh pengguna akhir.

“Perangkat-perangkat merek lain yang ditemukan terinfeksi ini tidak Perangkat Android bersertifikasi Play Protect,” kata Google dalam sebuah pernyataan. “Jika suatu perangkat tidak memiliki sertifikasi Play Protect, Google tidak memiliki catatan hasil pengujian keamanan dan kompatibilitas. Perangkat Android yang memiliki sertifikasi Play Protect menjalani pengujian ekstensif untuk memastikan kualitas dan keamanan pengguna.”

Pernyataan tersebut mengatakan orang dapat mengonfirmasi perangkat menjalankan OS Android TV dengan memeriksa tautan ini dan mengikuti langkah-langkah yang tercantum Di Sini.

Dokter Web mengatakan bahwa ada lusinan varian Vo1d yang menggunakan kode berbeda dan menanam malware di area penyimpanan yang sedikit berbeda, tetapi semuanya mencapai hasil akhir yang sama, yaitu terhubung ke server yang dikendalikan penyerang dan memasang komponen akhir yang dapat memasang malware tambahan saat diperintahkan. VirusTotal menunjukkan bahwa sebagian besar varian Vo1d pertama kali diunggah ke situs identifikasi malware beberapa bulan lalu.

Para peneliti menulis:

Semua kasus ini melibatkan tanda-tanda infeksi yang serupa, jadi kami akan menjelaskannya menggunakan salah satu permintaan pertama yang kami terima sebagai contoh. Objek berikut diubah pada kotak TV yang terpengaruh:

• instal-pemulihan.sh
• daemonsu

Selain itu, 4 file baru muncul di sistem berkasnya:

• /sistem/xbin/vo1d
• /sistem/xbin/wd
• /sistem/bin/debuggerd
• /sistem/bin/debuggerd_real

Itu suara Dan wd file adalah komponen dari Android.Vo1d trojan yang kami temukan.

Penulis trojan mungkin mencoba menyamarkan salah satu komponennya sebagai program sistem /system/bin/vold, dengan menyebutnya dengan nama yang mirip “vo1d” (mengganti huruf kecil “l” dengan angka “1”). Nama program jahat ini berasal dari nama berkas ini. Selain itu, ejaan ini sesuai dengan kata bahasa Inggris “void”.

Itu instal-pemulihan.sh file adalah skrip yang ada di sebagian besar perangkat Android. Ia berjalan saat sistem operasi diluncurkan dan berisi data untuk menjalankan otomatis elemen yang ditentukan di dalamnya. Jika ada malware yang memiliki akses root dan kemampuan untuk menulis ke /sistem direktori sistem, ia dapat menjangkarkan dirinya pada perangkat yang terinfeksi dengan menambahkan dirinya ke skrip ini (atau dengan membuatnya dari awal jika tidak ada dalam sistem). Android.Vo1d telah mendaftarkan autostart untuk wd komponen dalam berkas ini.

Itu daemonsu File ini ada di banyak perangkat Android dengan akses root. File ini diluncurkan oleh sistem operasi saat dimulai dan bertanggung jawab untuk memberikan hak akses root kepada pengguna. Android.Vo1d mendaftarkan dirinya sendiri dalam file ini juga, setelah juga mengatur autostart untuk wd modul.

Itu pendeteksi kesalahan file adalah daemon yang biasanya digunakan untuk membuat laporan tentang kesalahan yang terjadi. Namun ketika TV box terinfeksi, file ini digantikan oleh skrip yang meluncurkan wd komponen.

Itu debuggerd_nyata file dalam kasus yang kami tinjau adalah salinan skrip yang digunakan untuk menggantikan yang asli pendeteksi kesalahan file. Para ahli Doctor Web percaya bahwa penulis trojan tersebut bermaksud untuk pendeteksi kesalahan untuk dipindahkan ke debuggerd_nyata untuk mempertahankan fungsinya. Namun, karena infeksi mungkin terjadi dua kali, trojan memindahkan file yang sudah diganti (yaitu, skrip). Akibatnya, perangkat tersebut memiliki dua skrip dari trojan dan bukan satu pun pendeteksi kesalahan berkas program.

Pada saat yang sama, pengguna lain yang menghubungi kami memiliki daftar file yang sedikit berbeda di perangkat mereka yang terinfeksi:

• daemonsu (itu suara berkas analog — Android.Vo1d.1);
• wd (Android.Vo1d.3);
• pendeteksi kesalahan (skrip yang sama seperti yang dijelaskan di atas);
• debuggerd_nyata (file asli dari pendeteksi kesalahan alat);
• instal-pemulihan.sh (skrip yang memuat objek yang ditentukan di dalamnya).

Analisis terhadap semua berkas yang disebutkan di atas menunjukkan bahwa untuk menjangkarkan Android.Vo1d di dalam sistem, penulisnya menggunakan setidaknya tiga metode berbeda: modifikasi instal-pemulihan.sh Dan daemonsu file dan substitusi pendeteksi kesalahan program. Mereka mungkin menduga bahwa setidaknya satu dari file target akan ada di sistem yang terinfeksi, karena memanipulasi satu saja dari file tersebut akan memastikan peluncuran otomatis trojan yang berhasil selama perangkat di-boot ulang berikutnya.

Android.Vo1dFungsi utamanya tersembunyi di dalamnya suara (Android.Vo1d.1) Dan wd (Android.Vo1d.3) komponen, yang beroperasi secara bersamaan. Android.Vo1d.1 Modul ini bertanggung jawab untuk Android.Vo1d.3peluncuran dan mengendalikan aktivitasnya, memulai ulang prosesnya jika perlu. Selain itu, ia dapat mengunduh dan menjalankan file yang dapat dieksekusi saat diperintahkan untuk melakukannya oleh server C&C. Pada gilirannya, Android.Vo1d.3 modul menginstal dan meluncurkan Android.Vo1d.5 daemon yang dienkripsi dan disimpan di dalam tubuhnya. Modul ini juga dapat mengunduh dan menjalankan file yang dapat dieksekusi. Selain itu, modul ini memantau direktori tertentu dan menginstal file APK yang ditemukan di dalamnya.

Distribusi geografis infeksi sangat luas, dengan jumlah terbesar terdeteksi di Brasil, Maroko, Pakistan, Arab Saudi, Rusia, Argentina, Ekuador, Tunisia, Malaysia, Aljazair, dan Indonesia.

Tidak mudah bagi orang yang kurang berpengalaman untuk memeriksa apakah suatu perangkat terinfeksi kecuali memasang pemindai malware. Doctor Web mengatakan perangkat lunak antivirusnya untuk Android akan mendeteksi semua varian Vo1d dan mendisinfeksi perangkat yang menyediakan akses root. Pengguna yang lebih berpengalaman dapat memeriksa indikator penyusupan Di Sini.