2024年9月13日

株式会社Doctor Web Pacific

Doctor Webのエキスパートにより、Android TVボックスの新たな感染事例が発見されました。 Android.Vo1d と名づけられたマルウェアが197か国で130万台近いデバイスを感染させています。この Android.Vo1d はシステムストレージ領域に自身のコンポーネントを置くバックドアで、攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えています。

2024年8月、Doctor Webでは、Dr.Webアンチウイルスによってデバイス上でシステムファイル領域内の変更が検出されたという複数のユーザーから連絡を受けました。変更が検出されたのは以下のモデルです。

これらすべてのケースにおいて同様の感染兆候がみられたため、ここではユーザーから受け取った最初のリクエストのうち1つを例としてとりあげます。侵害されたTVボックス上で、以下のオブジェクトが改変されていました。

• install-recovery.sh
• daemonsu

さらに、ファイルシステム内に新たなファイルが4つ作成されています。

• /system/xbin/vo1d
• /system/xbin/wd
• /system/bin/debuggerd
• /system/bin/debuggerd_real

vo1dファイルとwdファイルは、今回発見されたトロイの木馬 Android.Vo1d のコンポーネントです。

このトロイの木馬の作成者は、そのコンポーネントの1つをシステムプログラムである/system/bin/voldに偽装させようという目的で、「vo1d」という似たような(小文字の「l」を数字の「1」に変えただけの)名前を付けたものと考えられます。この悪意のあるプログラムの名前はこのファイル名からとられています。さらに、この綴りは英語の「void」も連想させます。

install-recovery.shファイルはスクリプトで、ほとんどのAndroidデバイスに存在しています。オペレーティングシステムの起動時に実行され、ファイル内で指定されているエレメントを自動実行するためのデータを含んでいます。マルウェアがroot権限(rootアクセス)を持ち、システムディレクトリ/systemに書き込むことができる場合、自身をこのスクリプト内に追加することで(または、スクリプトがシステム内にない場合は一から作成することで)、感染したデバイス上にとどまるための足がかりを得ることができます。 Android.Vo1d は、このファイル内にwdコンポーネントの自動実行を登録していました。

改変されたinstall-recovery.shファイル

daemonsuファイルはrootアクセスを持つ多くのAndroidデバイスに存在しています。オペレーティングシステムによってその起動時に実行され、ユーザーにroot権限を付与する役割を担っています。 Android.Vo1d はこのファイル内にも自身を登録し、さらにwdコンポーネントの自動実行も設定しています。

debuggerdファイルは、通常は発生したエラーに関するレポートの作成に使用されるデーモンですが、TVボックスの感染によって、wdコンポーネントを起動するスクリプトに置き換えられていました。

今回のケースでは、debuggerd_realファイルが本物のdebuggerdファイルに置き換わるためのスクリプトのコピーです。トロイの木馬の作成者は、本物のdebuggerdファイルをdebuggerd_real内に移動させることで、その機能を保持しようとしたものとみられます。しかしながら、恐らくは感染が2回起こったために、トロイの木馬が移動させたファイルは1回目の感染ですでに置き換えられていたファイル(すなわち、スクリプト)であり、その結果、デバイスにはトロイの木馬のスクリプトが2つ存在することになり、本物のプログラムファイルdebuggerdは1つも残っていませんでした。

他のユーザーの感染したデバイスでは、発見されたファイルに若干の違いがありました。

• daemonsu (vo1dファイルと同じ： Android.Vo1d.1 )
• wd ( Android.Vo1d.3 )
• debuggerd (上記と同じスクリプト)
• debuggerd_real (debuggerdツールの元のファイル)
• install-recovery.sh (指定されたオブジェクトをロードするスクリプト)

上記すべてのファイルを分析した結果から、トロイの木馬の作成者は Android.Vo1d をシステム内にとどめるために少なくとも3つの異なる手法を用いていることが分かります。すなわち、install-recovery.shファイルとdaemonsuファイルの改変、debuggerdプログラムの置き換えです。感染させたシステム内にこれらファイルのいずれか1つでも存在することを期待しているものと考えられます。これらファイルの1つだけにでも手を加えることができれば、デバイスの再起動時にトロイの木馬を確実に自動実行させることが可能になるからです。

Android.Vo1d の主要機能は連携して動作するコンポーネントvo1d( Android.Vo1d.1 )とwd( Android.Vo1d.3 )に隠されています。 Android.Vo1d.1 モジュールは Android.Vo1d.3 の起動を担い、その動作をコントロールし、必要に応じてそのプロセスを再起動させます。また、C&Cサーバーから受け取るコマンドに応じて実行ファイルをダウンロードして実行することができます。一方、 Android.Vo1d.3 モジュールはその本体に暗号化された状態で格納されている Android.Vo1d.5 デーモンをデバイス上にインストールして起動します。このモジュールも実行ファイルをダウンロードして実行することができるほか、指定されたディレクトリを監視して、そこで見つかったAPKファイルをインストールします。

Doctor Webのマルウェアアナリストによる調査の結果、バックドア Android.Vo1d はおよそ130万台のデバイスを感染させており、その地理的範囲は200か国近くに及んでいることが明らかになりました。最も感染数の多かった国は、ブラジル、モロッコ、パキスタン、サウジアラビア、ロシア、アルゼンチン、エクアドル、チュニジア、マレーシア、アルジェリア、インドネシアとなっています。

感染したデバイスの検出数が最も多かった国

Android.Vo1d を拡散させる攻撃者がその標的として特にTVボックスに白羽の矢を立てた背景には、これらのデバイスには往々にして古いバージョンのAndroidが搭載されているという状況があると考えられます。そのようなバージョンにはパッチの適用されていない脆弱性が存在し、アップデートのサポートも終了しています。たとえば今回のケースでは、ユーザーはAndroid 7.1を搭載するモデルを使用していました。それらの中には、Android 10やAndroid 12などの新しいバージョンが搭載されているとうたわれているものもあります。残念ながら、安価なデバイスのメーカーが古いバージョンのOSを搭載しておきながら、それらを最新のバージョンと偽って売り込もうとすることは珍しくありません。

また、TVボックスはスマートフォンに比べて安全なデバイスであるという誤った認識をユーザー自身が抱いてしまっている場合もあります。そのため、TVボックスにはアンチウイルスソフトウェアをインストールしてあることが少なく、サードパーティアプリをダウンロードする際や非公式ファームウェアをインストールする際にマルウェアに遭遇するリスクが高くなります。

現時点では、TVボックスがバックドアに感染した経路については明らかになっていません。可能性として考えられるのは、オペレーティングシステムの脆弱性を悪用してroot権限を取得する中間マルウェアによる攻撃です。もう1つの可能性としては、root権限を持つ非公式ファームウェアの使用が考えられます。

Android向けDr.Webアンチウイルス製品はトロイの木馬 Android.Vo1d の既知の亜種すべてを検出し、root権限を使用できる場合は感染したデバイスを修復します。

Indicators of compromise (侵害の痕跡) ※英語

Android.Vo1d.1の詳細 ※英語

Android.Vo1d.3の詳細 ※英語

Android.Vo1d.5の詳細 ※英語