1,3 milioni di Android TV box colpiti da violazioni della sicurezza; I ricercatori ancora non sanno come

I ricercatori non sanno ancora cosa abbia causato l’infezione malware recentemente scoperta che ha colpito quasi 1,3 milioni di dispositivi di streaming che eseguono il sistema operativo Android open source in quasi 200 paesi.

Società di sicurezza Dr. Web La notizia è stata data giovedì Il malware, denominato Android.Vo1d, è riuscito a compromettere i dispositivi Android inserendo componenti dannosi nell’area di archiviazione del sistema, dove potevano essere aggiornati in qualsiasi momento con ulteriore malware tramite server di comando e controllo. I rappresentanti di Google hanno affermato che i dispositivi infetti eseguivano sistemi operativi basati sul progetto Android Open Source, una versione supervisionata da Google ma diversa da Android TV, che è una versione speciale limitata ai produttori di dispositivi con licenza.

Decine di variabili

Sebbene Doctor Web abbia una conoscenza approfondita del virus Vo1d e della straordinaria portata che ha raggiunto, i ricercatori dell’azienda affermano di non aver ancora identificato il vettore di attacco che ha portato all’infezione.

“Al momento, la fonte dell’infezione backdoor dei TV box rimane sconosciuta”, si legge nel post di giovedì. “Un possibile vettore di infezione potrebbe essere un attacco da parte di un malware middle-in-the-middle che sfrutta le vulnerabilità del sistema operativo per ottenere privilegi di root. Un altro possibile vettore potrebbe essere l’uso di versioni non ufficiali del firmware con accesso root integrato.”

I seguenti dispositivi infetti dal virus Vo1d sono:

Una possibile ragione dell’infezione è che i dispositivi eseguono versioni obsolete vulnerabili a un exploit che esegue codice dannoso su di essi in remoto. Ad esempio, le versioni 7.1, 10.1 e 12.1 sono state rilasciate rispettivamente nel 2016, 2019 e 2022. Inoltre, il Dr. Webb ha affermato che non è insolito che i produttori di dispositivi economici installino versioni precedenti dei sistemi operativi negli streaming box e li rendano più attraenti presentandoli come modelli più recenti.

Inoltre, mentre solo i produttori di dispositivi autorizzati possono modificare AndroidTV di Google, qualsiasi produttore di dispositivi è libero di apportare modifiche alle versioni open source. Ciò lascia aperta la possibilità che i dispositivi nella catena di fornitura possano essere infettati e già compromessi nel momento in cui l’utente finale li ha acquistati.

“Si è scoperto che questi dispositivi non di marca infetti non lo erano Dispositivi Android certificati Play Protect“Se un dispositivo non è certificato tramite Play Protect, Google non ha traccia dei risultati dei test di sicurezza e compatibilità. I ​​dispositivi Android certificati tramite Play Protect vengono sottoposti a test approfonditi per garantire la qualità e la sicurezza dell’utente”, ha affermato Google in una nota.

La dichiarazione afferma che le persone possono confermare che sul dispositivo è in esecuzione il sistema operativo Android TV tramite verifica Questo collegamento E segui i passaggi indicati Qui.

Esistono dozzine di varianti di Vo1d che utilizzano codice diverso e installano malware in aree di archiviazione leggermente diverse, ma ottengono tutte lo stesso risultato finale: connettersi a un server controllato dall’aggressore e installare un componente finale che può installare malware aggiuntivo quando richiesto di farlo. , ha detto il dottor Webb. VirusTotal spiega che la maggior parte delle varianti Vo1d sono state caricate per la prima volta su un sito di identificazione malware diversi mesi fa.

I ricercatori hanno scritto:

Tutti questi casi presentavano segni di infezione simili, quindi li descriveremo utilizzando come esempio una delle prime richieste che abbiamo ricevuto. Sul TV-Box interessato sono stati modificati i seguenti oggetti:

• install-recovery.sh
• Demonso

Inoltre, nel suo file system sono comparsi 4 nuovi file:

• /system/xbin/vo1d
• /system/xbin/wd
• /system/bin/debuggerd
• /system/bin/debuggerd_real

IL Voto 1 D E amicizia I file sono componenti Android.Vo1d Il cavallo di Troia che abbiamo scoperto.

Gli autori del Trojan potrebbero aver tentato di mascherare uno dei suoi componenti come programma di sistema /system/bin/vold, a cui hanno dato un nome simile “vo1d” (sostituendo la “l” minuscola con il numero “1”). Il nome del malware deriva dal nome di questo file. Inoltre, questa ortografia corrisponde alla parola inglese “void”.

IL install-recovery.sh Il file è uno script presente sulla maggior parte dei dispositivi Android. Viene eseguito all’avvio del sistema operativo e contiene dati per eseguire automaticamente gli elementi specificati in esso. Se qualche malware ha accesso root e la possibilità di scrivere su /sistema Directory di sistema, può installarsi nella macchina infetta aggiungendosi a questo script (o creandolo da zero se non esiste nel sistema). Android.Vo1d La riproduzione automatica è registrata per amicizia componente in questo file.

IL Demonso Il file esiste su molti dispositivi Android rootati. Viene eseguito dal sistema operativo all’avvio ed è responsabile di fornire i privilegi di root all’utente. Android.Vo1d Lo stesso è stato registrato anche in questo file, dopo aver impostato anche la riproduzione automatica amicizia solitudine.

IL Debug Il file è un demone solitamente utilizzato per generare report sugli errori che si sono verificati. Ma quando la TV è stata infettata, questo file è stato sostituito dallo script eseguito amicizia componente.

IL debuggerd_real Il file nel caso in esame è una copia dello script utilizzato per sostituire il file reale Debug Gli esperti Doctor Web ritengono che gli autori del trojan intendessero che si trattasse del file originale Debug Da trasferire a debuggerd_real Per mantenere le sue funzioni. Tuttavia, poiché l’infezione può essersi verificata due volte, il trojan ha già trasmesso il file sostitutivo (ovvero lo script). Di conseguenza, il dispositivo conteneva due script Trojan e nessun file reale. Debug File di programma.

Nel frattempo, altri utenti che ci hanno contattato avevano un elenco di file leggermente diverso sui loro dispositivi infetti:

• Demonso (IL Voto 1 D Bobina analogica — Android.Vo1d.1);
• amicizia (Android.Vo1d.3);
• Debug (stesso testo di cui sopra);
• debuggerd_real (File originale di Debug attrezzo);
• install-recovery.sh (Uno script che carica gli oggetti specificati in esso).

L’analisi di tutti i file di cui sopra ha dimostrato che per consolidare Android.Vo1d in sistema, i suoi autori hanno utilizzato almeno tre metodi diversi: modifica install-recovery.sh E Demonso file e sostituirli Debug Probabilmente si aspettavano che almeno uno dei file bersaglio fosse presente nel sistema infetto, poiché la manomissione anche di uno solo di essi avrebbe garantito il successo dell’esecuzione automatica del Trojan durante i successivi riavvii del dispositivo.

Android.Vo1dLa funzione principale di è nascosta in Voto 1 D (Android.Vo1d.1) E amicizia (Android.Vo1d.3) Componenti che lavorano in armonia. Android.Vo1d.1 L’Unità è responsabile Android.Vo1d.3Esegue l’attività di un programma e ne controlla l’attività, riavviandone il processo se necessario. Inoltre, può scaricare ed eseguire file eseguibili quando richiesto dal server C&C. A sua volta, Android.Vo1d.3 L’unità si installa e funziona Android.Vo1d.5 Un programma crittografato e archiviato nel suo corpo. Questo modulo può anche scaricare ed eseguire file eseguibili. Inoltre, monitora directory specifiche e installa i file APK che trova lì.

La diffusione dell’infezione è ampiamente distribuita geograficamente, con il maggior numero di infezioni rilevate in Brasile, Marocco, Pakistan, Arabia Saudita, Russia, Argentina, Ecuador, Tunisia, Malesia, Algeria e Indonesia.

Per le persone meno esperte non è particolarmente semplice verificare se un dispositivo è infetto o meno senza installare scanner di malware. Doctor Web ha affermato che il suo antivirus per Android rileverà tutte le varianti Vo1d e disinfetterà i dispositivi che forniscono l’accesso root. Gli utenti più esperti possono verificare la presenza di indicatori di breakout Qui.