Atacatorii cibernetici au infectat peste 1.3 milioane de cutii de streaming Android TV cu un nou malware de tip backdoor denumit Vo1d, permițându-le să preia controlul complet al dispozitivelor.
Android TV este sistemul de operare al Google pentru televizoarele inteligente și dispozitivele de streaming, oferind o interfață de utilizator optimizată pentru televizoare și navigare cu telecomandă, Google Assistant integrat, Chromecast încorporat, suport pentru televiziune live și posibilitatea de a instala aplicații.
Acest sistem de operare alimentează funcțiile televizoarelor inteligente pentru numeroși producători, inclusiv TCL, Hisense și televizoarele Vizio. De asemenea, acționează ca sistemul de operare pentru dispozitivele de streaming media TV standalone, cum ar fi NVIDIA Shield.
Într-un nou raport realizat de Dr.Web, cercetătorii au descoperit 1.3 milioane de dispozitive infectate cu malware-ul Vo1d în peste 200 de țări, cu cel mai mare număr detectat în Brazilia, Maroc, Pakistan, Arabia Saudită, Rusia, Argentina, Ecuador, Tunisia, Malaysia, Algeria și Indonezia.
Firmware-ul Android TV văzut vizat în această campanie malware include:
În funcție de versiunea malware-ului Vo1d instalat, campania va modifica fișierele de sistem de operare install-recovery.sh, daemonsu sau va înlocui debuggerd, toate acestea fiind scripturi de pornire găsite în mod obișnuit în Android TV.
Campania malware utilizează aceste scripturi pentru persistență și pentru a lansa malware-ul Vo1d la pornire.
Malware-ul Vo1d în sine este situat în fișierele wd și vo1d, după care malware-ul își are numele.
„Funcționalitatea principală a Android. Vo1d este ascunsă în componentele sale vo1d (Android.Vo1d.1) și wd (Android.Vo1d.3), care operează în tandem”, explică Dr.Web.
„Modulul Android.Vo1d.1 este responsabil pentru lansarea Android.Vo1d.3 și îi controlează activitatea, reluând procesul său dacă este necesar. În plus, poate descărca și executa fișiere executabile atunci când este comandat să facă acest lucru de serverul C&C.”
„La rândul său, modulul Android.Vo1d.3 instalează și lansează daemonul Android.Vo1d.5 care este criptat și stocat în corpul său. Acest modul poate de asemenea să descarce și să ruleze fișiere executabile. În plus, monitorizează directoarele specificate și instalează fișierele APK pe care le găsește în ele.”
Deși Dr.Web nu știe cum sunt compromise dispozitivele de streaming Android TV, cercetătorii cred că acestea sunt vizate deoarece rulează adesea software-uri învechite cu vulnerabilități.
„Un posibil vector de infecție ar putea fi un atac de un malware intermediar care exploatează vulnerabilitățile sistemului de operare pentru a obține privilegii de root”, concluzionează Dr.Web.
„Un alt posibil vector ar putea fi utilizarea versiunilor neoficiale de firmware cu acces root încorporat.”
Pentru a preveni infectarea cu acest malware, se recomandă utilizatorilor de Android TV să verifice și să instaleze noi actualizări de firmware pe măsură ce devin disponibile. De asemenea, asigurați-vă că aceste cutii nu sunt conectate la internet în cazul în care sunt exploatate la distanță prin servicii expuse.
Ultimul dar nu cel din urmă, evitați instalarea aplicațiilor Android ca fișiere APK din site-uri terțe pe Android TV, deoarece acestea sunt o sursă comună de malware.
O listă de IOCs pentru campania malware Vo1d poate fi găsită pe pagina GitHub a Dr. Web.
Leave a Reply