A-SEC Blog
Want to Contribute? Check our terms.
Home
arisan-security

Lebih dari satu juta Android TV Box telah terinfeksi virus. Banyak pengguna dari Indonesia terkena dampaknya

Lebih dari satu juta Android TV Box telah terinfeksi virus! Banyak pengguna dari Indonesia terkena dampaknya.

Para ahli Keamanan Siber dari Doctor Web telah mendeteksi kasus terbaru berupa Virus pada Android TV Box. Malware yang dijuluki Android.Vo1d ini menginfeksi hampir 1.300.000 perangkat pengguna di 197 negara. Malware ini berupa backdoor yang menempatkan komponennya di dalam penyimpanan sistem dan menjalankan script backdoor Android.Vo1d, untuk mengunduh dan menginstal third-party software secara diam-diam.

Dr. WEB Anti-Virus Services
Dr. WEB Anti-Virus Services

Pada bulan Agustus 2024, beberapa pengguna Android TV Box menghubungi Doctor Web yang pada perangkatnya terdeteksi adanya perubahan pada file sistem oleh anti-virus Dr.Web. Hal ini terjadi pada model berikut :


Model TV Box Versi Firmware yang dilaporkan
R4 Android 7.1.2; R4 Build/NHG47K
TV BOX Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP Android 10.1; KJ-SMART4KVIP Build/NHG47K
Model TV yang terdampak Android.Vo1d

Dalam semua kasus, tanda-tanda infeksinya serupa, sehingga dapat dijelaskan menggunakan contoh salah satu kasus pertama. Objek berikut telah diubah pada Android TV BOX yang terkena dampak Trojan:


  • /install-recovery.sh

  • daemonsu


Selain itu, 4 file baru muncul di file sistemnya:

  • /system/xbin/vo1d

  • /system/xbin/wd

  • /system/bin/debuggerd

  • /system/bin/debuggerd_real


File vo1d dan wd adalah komponen trojan Android.Vo1d yang Dr.Web deteksi.


Photo by Erik Mclean on Unsplash
Photo by Erik Mclean on Unsplash



Berikut beberapa Indicator of Compromise dari komponen malware Android.Vo1d 


Known Android.Vo1d.1 variants (/system/xbin/vo1d)
SHA-1 Decrypted payload SHA-1
f3732871371819532416cf2ec03ea103a3d61802 9a8b7a85742330970e067f2b80ada9e295b0e035
675f9a34f6f8dc887e47aa85fffda41c178eb186 42def5b7eb8b1bcc727739cca98efe42c022a3f6
637c491d29eb87a30d22a7db1ccb38ad447c8de8 4b1135c6cade7e17548982338bfa9382e3c234f0

Indicator of Compromise Android.Vo1d


Beberapa Indicator of Compromise lengkap dari malware Android.Vo1d Indicator of Compromise


Baca juga : Perbedaan Indicator of Attacks & Indicator of Compromise


Pembuat Script Trojan mungkin mencoba menyamarkan salah satu komponennya sebagai program sistem /system/bin/vold, menggunakan nama yang mirip yaitu "vo1d". Malware mendapatkan namanya dari file tersebut. Ejaan ini juga serupa dengan kata "void" (dari bahasa Inggris yang berarti kekosongan).

File install-recovery.sh adalah script yang ada pada sebagian besar perangkat Android. File ini otomatis aktif saat sistem operasi dimulai dan berisi program  autorun dari elemen yang ditentukan di dalamnya. Jika ada suatu malware yang memiliki akses root dan kemampuan untuk menulis ke direktori sistem /system, maka malware ini dapat memperoleh backdoor pada perangkat yang terinfeksi dengan menambahkan dirinya ke dalam script ini (atau membuatnya jika tidak terdapat dalam sistem). Android.Vo1d mengkonfigurasi script tersebut untuk memulai komponen wd secara otomatis.


File install-recovery.sh yang telah dimodifikasi
File install-recovery.sh yang telah dimodifikasi

File daemonsu terdapat pada banyak perangkat Android yang memiliki akses root. File ini dijalankan oleh sistem saat booting dan bertanggung jawab untuk memberikan hak akses root kepada pengguna. Android.Vo1d juga mengkonfigurasi file ini untuk melakukan autostart modul wd


File debuggerd adalah daemon yang biasanya digunakan untuk menghasilkan laporan crash program. Namun saat Android TV Box terinfeksi, file ini diganti dengan script yang menjalankan  komponen wd.


File debuggerd_real dalam hal ini adalah salinan script yang menggantikan file debuggerd asli. Para ahli Keamanan Siber Doctor Web percaya bahwa yang dimaksudkan oleh pembuat Script Trojan adalah memindahkan debuggerd asli ke debuggerd_real  untuk mempertahankan fungsinya. Namun, karena infeksi mungkin saja dapat terjadi kedua kalinya, Trojan memindahkan file yang sudah dipalsukan (yaitu script). Akibatnya, perangkat tersebut memiliki dua script Trojan dan tidak ada satu pun file program debuggerd asli.


Pada saat yang sama, pengguna lain yang menghubungi kami memiliki daftar file yang sedikit berbeda di perangkat mereka yang terinfeksi:


  • daemonsu (analog dari file vo1d - Android.Vo1d.1);

  • wd (Android.Vo1d.3);

  • debuggerd (sama seperti script yang dijelaskan di atas);

  • debuggerd_real (file utilitas asli debuggerd);

  • install-recovery.sh (script yang memastikan pengunduhan objek yang ditentukan di dalamnya).


Dari hasil penelitian terhadap semua file ini menunjukkan bahwa untuk memasang Android.Vo1d pada sistem, pembuat Trojan menggunakan setidaknya dua metode berbeda, yakni modifikasi dari file install-recovery.sh dan daemonsu, serta mengganti program debuggerd. Pembuat Script Trojan mungkin berharap bahwa setidaknya satu dari file target akan ada di sistem yang terinfeksi, karena memanipulasi salah satu dari file tersebut akan memastikan keberhasilan program autorun Trojan pada reboot perangkat berikutnya.


Fungsi utama Android.Vo1d tersembunyi dalam komponen vo1d (Android.Vo1d.1) dan wd Android.Vo1d.3) yang bekerja bersama. Modul Android.Vo1d.1 bertanggung jawab untuk meluncurkan Android.Vo1d.3 dan memantau aktivitasnya, serta memulai ulang prosesnya. Selain itu, atas perintah server command and control (C&C) yang dapat mengendalikan Android TV Box, ia dapat mengunduh dan menjalankan file executable. Selanjutnya, modul Android.Vo1d.3 diinstal pada perangkat dan meluncurkan daemon terenkripsi di dalamnya (Android.Vo1d.5) yang juga mampu mengunduh dan menjalankan file executable. Selain itu, Android.Vo1d.1 memantau tampilan file APK aplikasi pada direktori tertentu dan menginstalnya.


Sebuah penelitian yang dilakukan oleh para analis virus Doctor Web menunjukkan bahwa backdoor Android.Vo1d menginfeksi sekitar 1.300.000 perangkat dan distribusinya mencakup hampir 200 negara. Kasus infeksi terbanyak terdeteksi di Brasil, Maroko, Pakistan, Arab Saudi, Rusia, Argentina, Ekuador, Tunisia, Malaysia, Aljazair, dan Indonesia.


Negara-negara dengan jumlah terbesar perangkat terinfeksi yang terdeteksi
Negara-negara dengan jumlah terbesar perangkat terinfeksi yang terdeteksi

Kemungkinan alasan mengapa attacker yang mendistribusikan Android.Vo1d memilih Android TV Box sebagai targetnya adalah karena perangkat tersebut seringkali berjalan pada versi Android yang sudah ketinggalan zaman, dengan kerentanannya yang belum diperbaiki dan pembaruannya tidak lagi tersedia. Misalnya, model perangkat dari pengguna yang menghubungi kami berjalan pada Android 7.1, meskipun beberapa di antaranya konfigurasinya menunjukkan versi yang jauh lebih baru, seperti Android 10 dan Android 12. Sayangnya, praktik ini sering terjadi ketika produsen perangkat berharga murah menggunakan versi OS yang lebih lama dan menganggapnya sebagai versi yang lebih baru untuk meningkatkan daya tariknya.


Selain itu, pengguna sendiri mungkin salah menganggap Android TV Box sebagai perangkat yang lebih aman dibandingkan Gadget sekarang ini. Oleh karena itu, mereka cenderung tidak memasang antivirus sehingga berisiko terkena malware saat mengunduh third-party programs atau memasang firmware tidak resmi.


Saat ini, sumber infeksi backdoor pada Android TV Box masih belum diketahui. Salah satu vektor yang mungkin terjadi adalah serangan oleh malicious programs yang menggunakan kerentanan sistem operasi untuk mendapatkan hak akses root. Vektor lainnya adalah menggunakan versi firmware tidak resmi dengan akses root.


Dr.Web Security Space untuk perangkat seluler berhasil mendeteksi semua jenis Trojan Android.Vo1d yang diketahui dan jika memiliki akses root, maka dapat melakukan perawatan terhadap gadget yang terinfeksi.