Nuevo malware Vo1d infecta 1,3 millones de dispositivos Android TV

Iniciado por AXCESS, Septiembre 12, 2024, 12:29:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Casi 1,3 millones de televisores con sistema operativo Android que funcionan con versiones obsoletas del sistema operativo y que pertenecen a usuarios de 197 países han sido infectados por un nuevo malware denominado Vo1d (también conocido como Void).

"Se trata de una puerta trasera que coloca sus componentes en el área de almacenamiento del sistema y, cuando los atacantes lo ordenan, es capaz de descargar e instalar en secreto software de terceros", afirmó el proveedor ruso de antivirus Doctor Web en un informe publicado hoy.

La mayoría de las infecciones se han detectado en Brasil, Marruecos, Pakistán, Arabia Saudita, Argentina, Rusia, Túnez, Ecuador, Malasia, Argelia e Indonesia.

Actualmente no se sabe cuál es el origen de la infección, aunque se sospecha que puede deberse a una instancia de vulneración previa que permite obtener privilegios root o al uso de versiones de firmware no oficiales con acceso root incorporado.

Los siguientes modelos de TV han sido el objetivo de la campaña:

KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)

R4 (Android 7.1.2; R4 Build/NHG47K)

TV BOX (Android 12.1; TV BOX Build/NHG47K)

El ataque implica la sustitución del archivo demonio "/system/bin/debuggerd" (con el archivo original trasladado a un archivo de respaldo llamado "debuggerd_real"), así como la introducción de dos nuevos archivos: "/system/xbin/vo1d" y "/system/xbin/wd", que contienen el código malicioso y funcionan simultáneamente.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Antes de Android 8.0, los fallos los gestionaban los daemons debuggerd y debuggerd64", señala Google en su documentación de Android. "En Android 8.0 y versiones posteriores, crash_dump32 y crash_dump64 se generan según sea necesario".

Se han modificado dos archivos diferentes incluidos en el sistema operativo Android (install-recovery.sh y daemonsu) como parte de la campaña para activar la ejecución del malware iniciando el módulo "wd".

"Los autores del troyano probablemente intentaron disfrazar uno de sus componentes como el programa del sistema '/system/bin/vold', llamándolo por el nombre similar 'vo1d' (sustituyendo la letra minúscula 'l' por el número '1')", dijo Doctor Web.

La carga útil "vo1d", a su vez, inicia "wd" y se asegura de que se ejecute de forma persistente, mientras que también descarga y ejecuta archivos ejecutables cuando se lo ordena un servidor de comando y control (C2). Además, controla directorios específicos e instala los archivos APK que encuentra en ellos.

"Desafortunadamente, no es raro que los fabricantes de dispositivos económicos utilicen versiones anteriores del sistema operativo y las hagan pasar por más actualizadas para hacerlas más atractivas", dijo la compañía.

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta