Android.Vo1d マルウェア

197 か国で使用されている、古いシステム バージョンで動作している Android ベースの TV ボックス約 130 万台が、新たに発見された Vo1d (別名 Void) と呼ばれるマルウェアによって侵害されました。このバックドア マルウェアは、システム ストレージにコンポーネントを埋め込み、攻撃者からのコマンドを受信すると、サードパーティ アプリケーションを密かにダウンロードしてインストールできます。

感染のほとんどはブラジル、モロッコ、パキスタン、サウジアラビア、アルゼンチン、ロシア、チュニジア、エクアドル、マレーシア、アルジェリア、インドネシアで確認されている。

Vo1d 攻撃の標的となった複数のデバイス

感染の正確な原因は不明ですが、攻撃者がルート権限を取得できる以前の侵害、またはルートアクセスが組み込まれた非公式のファームウェアバージョンの使用が原因であると考えられています。

このキャンペーンでは、以下のテレビ モデルがターゲットになっています。

• KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP ビルド/NHG47K)
• R4 (Android 7.1.2; R4 ビルド/NHG47K)
• TV BOX (Android 12.1、TV BOX ビルド/NHG47K)

この攻撃では、「/system/bin/debuggerd」デーモン ファイルを置き換え (元のファイルはバックアップとして「debuggerd_real」に名前が変更されます)、「/system/xbin/vo1d」と「/system/xbin/wd」という 2 つの新しいファイルを追加します。これらのファイルには不正なコードが含まれており、同時に実行されます。

Googleは、影響を受けるテレビモデルはPlay Protect認定のAndroidデバイスではなく、Androidオープンソースプロジェクト（AOSP）リポジトリのソースコードを使用していた可能性が高いと指摘した。

サイバー犯罪者はAndroidファイルを改ざんしてマルウェアを配信

Android 8.0 より前では、Google の Android ドキュメントに記載されているように、クラッシュは debuggerd デーモンと debuggerd64 デーモンによって管理されていました。Android 8.0 以降では、「crash_dump32」と「crash_dump64」がオンデマンドで生成されます。

マルウェア攻撃の一環として、通常は Android オペレーティング システムの一部である 2 つのファイル (install-recovery.sh と daemonsu) が変更され、「wd」モジュールを起動してマルウェアを実行するようになりました。

サイバーセキュリティ研究者は、マルウェア作成者が、そのコンポーネントの1つをシステムプログラム「/system/bin/vold」として偽装しようとした可能性が高いと示唆しており、小文字の「l」を数字の「1」に置き換えて「vo1d」という名前を付け、同様の外観を作ろうとした可能性がある。

「vo1d」ペイロードは「wd」モジュールを起動し、それがアクティブなままであることを確認すると同時に、コマンドアンドコントロール（C2）サーバーからコマンドを受信すると実行可能ファイルをダウンロードして実行します。さらに、特定のディレクトリを監視し、見つかった APK ファイルをインストールします。

残念ながら、低価格デバイスの製造元が、自社製品をより魅力的に見せるために、古い OS バージョンを使用し、それを新しいものとして販売することは珍しいことではありません。